Google Project Zero Team- ի կայքում բլոգում Նատալի Սիլվանովիչը (Նատալի Սիլվանովիչ) նկարագրեց իր հետազոտությունը հաղորդակցման հանրաճանաչ դիմումների անվտանգության վերաբերյալ: Նա աշխատանքն անցկացրեց 2020 թվականին եւ, այսպես կոչված, սպիտակ հաքերների անօրինական օրենսգրքի համաձայն, հրապարակվել է արդյունքները խոցելիության վերացումից հետո:
Նատալին վերլուծեց տեսանկարահանման տրամաբանությունը ազդանշանի, Facebook Messenger- ի, Google Duo- ի, Google Duo- ի, Ji ակյոյի եւ Mocha- ի համար: Նման քայլի ժամանակ այն կողմ էր ոչ միայն հետաքրքրասիրությանը, այլեւ նախկինում ձեռք բերված փորձը: Փաստն այն է, որ Apple- ի սարքերի վրա պահքի գործառույթում մոտ երկու տարի առաջ գտել են երկար խոցելիություն. Առանց տուժողի իմացության, հարձակվողը կարող էր նկարահանել հեռախոսի տեսախցիկից:
Ավելին, դա չի դիմումի թալանելու մեջ, այլ ինքնին տեսանյութի կապի աշխատանքի սխալ տրամաբանությունն օգտագործել: Կապը հաստատող փաթեթների փոխանակման ժամանակ նախաձեռնող կապը կարող է փոխարինել Թիրախ օգտագործողից նկարը փոխանցելու թույլտվությունը: Եվ խնդիրն այն է, որ զոհաբերության կողմում ծրագիրը կքննարկի այս մանիպուլյացիայի օրինականությունը, նույնիսկ առանց օգտագործողի գործողությունների:
Այո, այս սխեման ունի սահմանափակումներ: Նախ, դուք պետք է զանգահարեք եւ դա անեք որոշակի ձեւով: Այսինքն, տուժողը միշտ կկարողանա արձագանքել: Երկրորդ, արդյունքում ստացված տվյալների բաժինը շատ սահմանափակ կլինի: Պատկերը ամրագրված է առջեւի տեսախցիկից, եւ փաստ չէ, որ թվում է, թե որտեղ է ձեզ հարձակվող: Բացի այդ, զոհաբերությունը կտեսնի զանգը եւ կվերցնի այն կամ կիջնի այն: Այլ կերպ ասած, գաղտնի հնարավոր է համոզվել միայն սմարթֆոնը սմարթֆոնի ձեռքին, երբ նա վազում է:
Բայց իրավիճակը դեռ տհաճ է, եւ երբեմն կարող են բավարար լինել նման տեղեկատվություն: Նատալին նման խոցելիություններ է գտել վերը նշված բոլոր ծրագրերում: Նրանց աշխատանքային մեխանիզմը մեսենջերից տարբերվում էր սուրհանդակից, բայց սկզբունքորեն սխեման մնաց նույնը: Լավ նորություններ Telegram- ի եւ Viber Lovers- ի համար. Դրանք այնքան են զրկված այդպիսի թերությունից, իրենց տեսազանգերը կոչ են անում ամեն ինչ կարգին է: Համենայն դեպս, մինչ այժմ չեն հայտնաբերվել:
Google Duo- ում խոցելիությունը փակվել է անցյալ տարվա դեկտեմբերին, Facebook Messenger- ում `նոյեմբերին, ամռանը թարմացվել է ic իոչաթը եւ Մոխա: Բայց, ի վերջո, ազդանշանը շտկեց նման սխալ, 2019-ի սեպտեմբերին, բայց այս սուրհանդակը եւ առաջինը հետաքննեց: Այսպիսով, կիբերանվտանգության փորձագետները եւս մեկ անգամ հիշեցնում էին տեղադրված ծրագրերի կանոնավոր թարմացումների անհրաժեշտությունը: Դուք չեք կարող իմանալ լուրջ խնդրի մասին, բայց մշակողներն արդեն շտկել են այն:
Սիլվանովիչը առանձին նշում է, որ նա վերլուծել է երկու օգտագործողների միջեւ տեսազանգերի գործառույթը: Այսինքն, միայն այն գործը, որում կապը հաստատվում է ուղղակիորեն «բաժանորդների» միջեւ: Իր զեկույցում նա հայտարարեց աշխատանքի հաջորդ փուլի - խմբային վիդեոկոնֆերանսի հանրաճանաչ սուրհանդակներում:
Աղբյուր, մերկ գիտություն