Google प्रोजेक्ट शून्य टीम की वेबसाइट पर ब्लॉग में, नेटली सिल्वानोविच (नेटली सिल्वानोविच) ने संचार के लिए लोकप्रिय अनुप्रयोगों की सुरक्षा पर अपने शोध का वर्णन किया। उन्होंने 2020 में काम बिताया और, तथाकथित सफेद हैकर्स के गैरकानूनी कोड के अनुसार, भेद्यता समाप्त होने के बाद प्रकाशित परिणाम।
नेटली ने सिग्नल, फेसबुक मैसेंजर, Google जोड़ी, जियोचैट और मोचा में वीडियो सुविधाओं के तर्क का विश्लेषण किया। इस तरह के एक कदम पर, यह न केवल जिज्ञासा, बल्कि पहले अधिग्रहित अनुभव की वकालत की गई थी। तथ्य यह है कि लगभग दो साल पहले ऐप्पल उपकरणों पर फेसटाइम फ़ंक्शन में एक लंबी भेद्यता मिली: पीड़ित के ज्ञान के बिना, हमलावर फोन कैमरे से एक तस्वीर कैप्चर कर सकता था।
इसके अलावा, यह एक आवेदन हैकिंग में नहीं है, लेकिन वीडियो लिंक के काम के गलत तर्क का उपयोग करने के लिए। कनेक्शन की पुष्टि करने वाले पैकेजों के आदान-प्रदान पर, आरंभिक कनेक्शन लक्ष्य उपयोगकर्ता से चित्र को स्थानांतरित करने की अनुमति को प्रतिस्थापित कर सकता है। और समस्या यह है कि बलिदान पक्ष पर, कार्यक्रम उपयोगकर्ता कार्यों के बिना भी इस हेरफेर को वैध मानेंगे।
हां, इस योजना में सीमाएं हैं। सबसे पहले, आपको एक कॉल शुरू करने और इसे एक निश्चित तरीके से करने की आवश्यकता है। यही है, पीड़ित हमेशा जवाब देने में सक्षम होगा। दूसरा, परिणामस्वरूप प्राप्त आंकड़ों का हिस्सा बहुत सीमित होगा। तस्वीर सामने के कैमरे से तय की गई है - और यह एक तथ्य नहीं है कि यह दिखता है कि आपको हमलावर की आवश्यकता है। इसके अलावा, बलिदान कॉल को देखेगा और या तो इसे ले जाएगा या इसे छोड़ देता है। दूसरे शब्दों में, यह सुनिश्चित करना संभव है कि वह रैन्स के दौरान स्मार्टफोन के हाथों में केवल स्मार्टफोन सुनिश्चित करें।
लेकिन स्थिति अभी भी अप्रिय है, और कभी-कभी ऐसी जानकारी पर्याप्त हो सकती है। नेटली को सभी उपरोक्त अनुप्रयोगों में समान भेद्यता मिली। उनके कार्य तंत्र दूत से द मेसेंजर तक भिन्न थे, लेकिन मूल रूप से योजना एक ही बनी रही। टेलीग्राम और Viber प्रेमियों के लिए अच्छी खबर: वे इतनी खामियों से वंचित हैं, उनके वीडियो कॉल के साथ सबकुछ क्रम में है। कम से कम, अब तक की पहचान नहीं की गई है।
Google Duo में, पिछले साल दिसंबर में भेद्यता को बंद कर दिया गया था, फेसबुक मैसेंजर में - नवंबर में, जियोचैट और मोचा को गर्मियों में अपडेट किया गया था। लेकिन सबसे पहले, सिग्नल ने सितंबर 201 9 में एक समान गलती को सही किया, लेकिन इस संदेशवाहक ने पहले की जांच की। इस प्रकार, साइबर सुरक्षा विशेषज्ञों ने एक बार फिर स्थापित अनुप्रयोगों के नियमित अपडेट की आवश्यकता को याद दिलाया। आप एक गंभीर समस्या के बारे में नहीं जान सकते हैं, लेकिन डेवलपर्स ने इसे पहले ही ठीक कर दिया है।
Silvanovich अलग से नोट करता है कि उन्होंने केवल दो उपयोगकर्ताओं के बीच वीडियो कॉल के कार्य का विश्लेषण किया। यही है, केवल वह मामला जिसमें "सब्सक्राइबर्स" के बीच कनेक्शन स्थापित किया गया है। अपनी रिपोर्ट में, उन्होंने लोकप्रिय संदेशवाहकों में कार्य-समूह वीडियो कॉन्फ्रेंसिंग के अगले चरण की घोषणा की।
स्रोत: नग्न विज्ञान