Blogissa verkkosivuilla Google Project Zero joukkue, Natalie Silvanovichille (Natalie Silvanovichille) kuvasivat sen tutkimus turvallisuudesta suosittuja sovelluksia viestintään. Hän vietti työn vuonna 2020 ja ns. Valkoisten hakkereiden lainvastaisen koodin mukaisesti julkaistiin tulokset, kun haavoittuvuudet poistettiin.
Natalie analysoi videoominaisuuksien logiikkaa signaalin, Facebook Messenger, Google Duo, Jiochat ja Mocha. Tällaisessa vaiheessa kannatettiin paitsi uteliaisuutta vaan myös aiemmin hankittu kokemus. Tosiasia on, että noin kaksi vuotta sitten Applen laitteiden FaceTime-toiminnossa löysi pitkän haavoittuvuuden: ilman uhrin tuntemusta hyökkääjä voisi kaapata kuvan puhelinkamerasta.
Lisäksi se ei ole hakkerointi, vaan käyttää itse videolinkin työn virheellistä logiikkaa. Yhteyden vahvistamisen vaihdossa käynnistysyhteys voi korvata luvan siirtää kuvan kohdekäyttäjältä. Ja ongelma on, että uhripuolella ohjelma harkitsee tätä manipulaatiota laillista, jopa ilman käyttäjän toimintaa.
Kyllä, tällä järjestelmällä on rajoituksia. Ensin sinun on käynnistettävä puhelu ja tehdä se tietyllä tavalla. Toisin sanoen uhri pystyy aina vastaamaan. Toiseksi osan tuloksena saadut tiedot ovat hyvin rajalliset. Kuva on kiinnitetty etukamerasta - eikä se ole tosiasia, että se näyttää, missä tarvitset hyökkääjän. Lisäksi uhraus näkee puhelun ja joko ottaa sen tai pudottaa sen. Toisin sanoen se on salaa mahdollista varmistaa vain älypuhelin älypuhelimen käsissä, kun hän ranns.
Mutta tilanne on edelleen epämiellyttävä, ja joskus tällaisia tietoja voi olla tarpeeksi. Natalie löysi samanlaisia haavoittuvuuksia kaikissa edellä mainituissa sovelluksissa. Heidän työnmekanismi eroaa lähettilästä lähettilään, mutta pohjimmiltaan järjestelmä pysyi samana. Hyvä uutinen Telegram ja Viber Lovers: Ne ovat niin riistettyjä tällaisesta virheestä, heidän videopuhelujensa mukaan kaikki on kunnossa. Ainakin, toistaiseksi ei ole tunnistettu.
Google Duoissa haavoittuvuus suljettiin viime vuoden joulukuussa, Facebook Messenger - marraskuussa Jiochat ja Mocha päivitettiin kesällä. Mutta ennen kaikkea signaali korjasi samanlaisen virheen, takaisin syyskuussa 2019, mutta tämä lähettiläs ja tutkittiin ensimmäistä. Näin ollen tietoturva-asiantuntijat muistuttivat jälleen tarvetta säännöllisesti asennettujen sovellusten päivityksistä. Et voi tietää vakavasta ongelmasta, mutta kehittäjät ovat jo korjattaneet sen.
Silvanovich huomauttaa erikseen, että hän analysoi vain videopuhelujen toiminnon kahden käyttäjän välillä. Toisin sanoen vain tapaus, jossa yhteys muodostetaan suoraan "tilaajien" välillä. Hän ilmoitti hänen mietinnössään seuraavasta työpaikasta - ryhmän videokonferenssi suosituissa sanansaattajissa.
Lähde: Alasti tiede