Yn it blog op 'e webside fan it Google Project Zero-team, Natalie Silvanovich (Natalie Silvanovich) beskreau syn ûndersyk op' e feiligens fan populêre applikaasjes foar kommunikaasje. Se bestege it wurk yn 2020 en, yn oerienstimming mei de ûnrjochtmjittige koade fan 'e saneamde wite hackers, publisearre resultaten nei de kwetsberheden waarden elimineare.
Natalie analysearre de logika fan 'e fideokonfunksjes yn sinjaal, Facebook Messenger, Google Duo, Jiochat en Mocha. Op sa'n stap waard it pleiten oanhâlden net allinich nijsgjirrigens, mar ek de earder oankochte ûnderfining. It feit is dat sawat twa jier lyn yn 'e Facetime-funksje op Apple-apparaten fûnen in lange kwetsberens fûn: sûnder de kennis fan it slachtoffer koene de oanfaller in ôfbylding fange út' e tillefoankamera.
Boppedat is it net yn it hackjen fan in applikaasje, mar om de ferkearde logika te brûken fan it wurk fan 'e fideo-link sels. By de útwikseling fan pakketten dy't de ferbining kinne befêstigje, kin de inisjearjende ferbining de tastimming ferfange om de ôfbylding oer te jaan fan 'e doelbrûker. En it probleem is dat op 'e offerkant, it programma sil beskôgje dizze manipulaasje legitime, sels sûnder brûkersaksjes.
Ja, dit skema hat beheiningen. Earst moatte jo in oprop inisjearje en it op in bepaalde manier dwaan. Dat is, it slachtoffer sil altyd kinne reagearje. Twad, it diel fan 'e gegevens krigen as resultaat sille heul beheind wêze. De ôfbylding is fêst fan 'e foarkant kamera - en it is gjin feit dat it liket wêr't jo in oanfaller nedich binne. Derneist sil it offer de oprop sjen en it of nim it of druppelt it. Mei oare wurden, it is yn it geheim mooglik om allinich it smartphone yn 'e hannen fan' e smartphone te soargjen dat hy Ranns.
Mar de situaasje is noch altyd onaangenaam, en d'r kin somtiden genôch sokke ynformaasje wêze. Natalie fûn ferlykbere kwetsberheden yn alle boppesteande applikaasjes. Harren wurkmeganisme ferskille fan 'e messenger nei de messenger, mar bleau in fûnemintele skema itselde. Goed nijs foar Telegram en VIBER-leafhawwers: se binne sa ferdreaun fan sa'n flater, mei har fideooproppen is alles yn oarder. Teminsten, oant no ta net identifisearre is.
Yn Google Duo waard de kwetsberens yn desimber ôfsluten yn desimber, op Facebook Messenger - waard Jiochat en Mocha yn 'e simmer bywurke. Mar foar alles korrizjearre sinjaal in soartgelikense flater, werom yn septimber 2019, mar dizze messenger en ûndersocht de earste. Sa tinkende kiebersecurity-ekspertsen tinken oan 'e needsaak om' e needsaak foar reguliere updates fan ynstalleare applikaasjes. Jo kinne net witte oer in serieus probleem, mar de ûntwikkelders hawwe it al korrizjearre.
Silvanovich apart dat se allinich de funksje fan fideoproepen analysearre tusken twa brûkers. Dat is, allinich it gefal wêryn de ferbining is fêststeld tusken de "abonnee" direkt. Yn syn rapport kundige se it folgjende poadium fan it wurk oan - Groep fideokonferinsje yn.
Boarne: Naked Science