בבלוג באתר האינטרנט של צוות אפס Google, נטלי סילבנוביץ '(נטלי סילבנוביץ') תיאר את המחקר שלה על ביטחון של יישומים פופולריים לתקשורת. היא בילתה את העבודה בשנת 2020, ובהתאם לקוד הבלתי חוקי של האקרים לבנים שנקראו, תוצאות שפורסמו לאחר שחסלו בפגיעויות.
נטלי ניתח את ההיגיון של תכונות הווידאו באות, פייסבוק שליח, Google Duo, Jiochat ומוקה. בצעד כזה, הוא היה ידוע לא רק סקרנות, אלא גם את החוויה שנרכשה בעבר. העובדה היא כי לפני כשנתיים בפונקציה FaceTime על התקני Apple מצא פגיעות ארוכה: ללא ידיעת הקורבן, התוקף יכול ללכוד תמונה מהצלמה הטלפון.
יתר על כן, זה לא בפריצה יישום, אבל כדי להשתמש בהיגיון שגוי של העבודה של הקישור וידאו עצמו. בחילופי החבילות המאשרות את החיבור, החיבור היוזם יכול להחליף את ההרשאה להעביר את התמונה ממשתמש היעד. והבעיה היא כי בצד הקורבן, התוכנית תשקול את המניפולציה הלגיטימית, גם ללא פעולות משתמש.
כן, תכנית זו יש מגבלות. ראשית, אתה צריך להתחיל להתקשר ולעשות את זה בדרך מסוימת. כלומר, הקורבן תמיד יוכל להגיב. שנית, החלק של הנתונים שהושגו כתוצאה יהיה מוגבל מאוד. התמונה נקבעה מהמצלמה הקדמית - ואין זו עובדה שזה נראה היכן אתה צריך תוקף. בנוסף, הקורבן יראה את השיחה או לקחת אותו או טיפות אותו. במילים אחרות, זה אפשרי בחשאי כדי לוודא רק את הטלפון החכם בידיים של הטלפון החכם כאשר הוא rans.
אבל המצב עדיין לא נעים, ויכולים לפעמים להיות מספיק מידע כזה. נטלי מצאה פגיעויות דומות בכל היישומים הנ"ל. מנגנון העבודה שלהם נבדל מן השליח לשליח, אבל תוכנית ביסודו נשארה זהה. חדשות טובות עבור מברק ואוהבי Viber: הם כל כך משולל של פגם כזה, עם שיחות וידאו שלהם הכל הוא בסדר. לפחות, עד כה לא זוהו.
ב- Google Duo נסגרה הפגיעות בדצמבר בשנה שעברה, בפייסבוק שליח - בחודש נובמבר עודכן ג'יוצ'ת ומוצא. אבל לפני כל, האות תיקן טעות דומה, בחזרה בספטמבר 2019, אבל זה שליח וחקר הראשון. לפיכך, מומחים cybersecurity שוב הזכירו את הצורך עדכונים שוטפים של יישומים מותקנים. אתה לא יכול לדעת על בעיה רצינית, אבל היזמים כבר תיקנו אותו.
סילבנוביץ 'מציינת בנפרד כי היא ניתחה רק את הפונקציה של שיחות וידאו בין שני משתמשים. כלומר, רק המקרה שבו הוקמה החיבור בין "המנויים" ישירות. בדו"ח שלו, היא הודיעה לשלב הבא של עבודה - ועידות וידאו קבוצתיות שליחים פופולריים.
מקור: מדע עירום