Dans le blog sur le site Web de l'équipe Google Project Zero, Natalie Silvanovich (Natalie Silvanovich) a décrit ses recherches sur la sécurité des applications populaires de communication. Elle a passé le travail en 2020 et, conformément au code illégal des soi-disant hackers blancs, les résultats publiés après l'élimination des vulnérabilités.
Natalie a analysé la logique des fonctionnalités vidéo dans le signal, Facebook Messenger, Google Duo, Jiochat et Mocha. À une telle étape, il a été préconisé non seulement la curiosité, mais également l'expérience acquise précédemment. Le fait est qu'environ il y a environ deux ans dans la fonction FaceTime sur les appareils Apple a trouvé une longue vulnérabilité: sans la connaissance de la victime, l'attaquant pourrait capturer une image de la caméra téléphonique.
De plus, il ne s'agit pas de pirater une demande, mais d'utiliser la logique incorrecte du travail du lien vidéo lui-même. Lors de l'échange de packages confirmant la connexion, la connexion initiatrice peut remplacer l'autorisation de transférer l'image de l'utilisateur cible. Et le problème est que sur le côté sacrifice, le programme examinera cette manipulation légitime, même sans actions de l'utilisateur.
Oui, ce système a des limites. Premièrement, vous devez initier un appel et le faire d'une certaine manière. C'est-à-dire que la victime sera toujours en mesure de répondre. Deuxièmement, la partie des données obtenues en conséquence sera très limitée. La photo est fixée à partir de la caméra avant - et ce n'est pas un fait qu'il ressemble là où vous avez besoin d'un attaquant. De plus, le sacrifice verra l'appel et la prendre ou le laisser tombera. En d'autres termes, il est secrètement possible de s'assurer que seul le smartphone entre les mains du smartphone lorsqu'il de Ranns.
Mais la situation est toujours désagréable et il peut parfois y avoir suffisamment d'informations. Natalie a trouvé des vulnérabilités similaires dans toutes les applications ci-dessus. Leur mécanisme de travail différait du messager au messager, mais un régime fondamentalement est resté le même. Bonne nouvelle pour les amateurs de télégramme et de vibration: ils sont tellement privés de cette faille, avec leurs appels vidéo, tout est en ordre. Au moins, jusqu'à présent n'a pas été identifié.
Dans Google Duo, la vulnérabilité a été clôturée en décembre dernier, à Facebook Messenger - en novembre, Jiochat et Moka ont été mis à jour en été. Mais avant tout, le signal a corrigé une erreur similaire, en septembre 2019, mais ce messager et a étudié le premier. Ainsi, les experts de la cybersécurité ont encore une fois rappelé à la nécessité de mettre à jour des mises à jour régulières des applications installées. Vous ne pouvez pas savoir sur un problème grave, mais les développeurs l'ont déjà corrigée.
Silvanovich note séparément qu'elle n'a analysé que la fonction des appels vidéo entre deux utilisateurs. C'est-à-dire que seul le cas dans lequel la connexion est établie entre les "abonnés" directement. Dans son rapport, elle a annoncé la prochaine étape du travail - GROUPE VIDEO CONFÉRENCING dans les messagers populaires.
Source: science nue