Google Project Zero Team-en webgunean, Natalie Silvanovitxek (Natalie Silvanovich) komunikaziorako aplikazio ezagunen segurtasunari buruzko ikerketa deskribatu zuen. 2020. urtean eman zuen lana eta, hacker zurien deituriko legez kanpoko kodearen arabera, ahultasunak ezabatu ondoren argitaratutako emaitzak argitaratu zituen.
Natalie-k bideoaren ezaugarrien logika aztertu zuen seinalean, Facebook Messenger, Google Duo, Jiiochat eta Mocha-n. Urratsez gero, jakin-mina ez ezik, aurrez eskuratutako esperientzia ere defendatu zen. Kontua da duela bi urte Apple gailuetan FaceTime funtzioan ahultasun luzea aurkitu dela: biktimaren ezagutzarik gabe, erasotzaileak telefono kamerari argazki bat atera diezaioke.
Gainera, ez da aplikazio bat piratatzen, baina bideoaren estekaren lanaren logika okerra erabiltzea da. Konexioa berresten duen paketeen trukean, konexioak abiarazteak baimena ordezkatu dezake irudia xede erabiltzaileari transferitzeko. Eta arazoa da sakrifizioaren aldean, programak manipulazio hau zilegi dela kontuan hartuko du, baita erabiltzaileen ekintzerik gabe ere.
Bai, eskema honek mugak ditu. Lehenik eta behin, dei bat hasi behar duzu eta modu jakin batean egin. Hau da, biktimak beti erantzun ahal izango du. Bigarrenik, ondorioz lortutako datuen zatia oso mugatua izango da. Irudia aurreko kameratik finkatuta dago - eta ez da erasotzailea non behar duzun. Gainera, sakrifizioak deia ikusiko du eta hartu edo bota egingo du. Beste modu batera esanda, ezkutuan posible da telefonoa smartphonearen eskuetan soilik ziurtatzea smartphone-a ranns denean.
Baina egoera desatsegina da oraindik, eta batzuetan nahikoa da informazio nahikoa. Natalie-k antzeko zaurgarritasunak aurkitu ditu aurreko aplikazio guztietan. Haien lan-mekanismoa mezulariarengandik desberdina zen mezulariarengana, baina funtsean eskema berdina izan zen. Berri onak telegrama eta viber zaleentzat: hain akatsak kenduta daude, bideo deiak dena ordenan dago. Gutxienez, orain arte ez dira identifikatu.
Google Duaro-n, ahultasuna iazko abenduan itxi zen, Facebook Messenger-en - azaroan, Jiochat eta Mocha eguneratu ziren udan. Baina, azken aurretik, seinaleak antzeko akatsa zuzendu zuen, 2019ko irailean, baina mezulari hau eta ikertu zuen lehenengoa. Horrela, zibersegurtasun adituek berriro ere instalatutako aplikazioen ohiko eguneratzeen beharra gogorarazi zuten. Ezin duzu arazo larririk jakin, baina garatzaileek dagoeneko zuzendu dute.
Silvanovitxek bereizita ohartarazi du bi erabiltzaileen arteko bideo deien funtzioa soilik aztertu zuela. Hau da, "harpidedunei" zuzenean konexioa zehazten den kasua. Bere txostenean, laneko hurrengo fasea iragarri zuen - Taldeko bideo-konferentzian mezularirik ezagunetan.
Iturria: Naked Science