Í blogginu á heimasíðu Google Project Zero Team, Natalie Silvanovich (Natalie Silvanovich) lýsti rannsóknum sínum á öryggi vinsælra umsókna um samskipti. Hún eyddi verkinu árið 2020 og í samræmi við ólöglega kóða svokallaða hvíta tölvusnápur, birtar niðurstöður eftir varnarleysi var útrýmt.
Natalie greindi rökfræði myndbandsins í merki, Facebook Messenger, Google Duo, Jiochat og Mokka. Í slíku skrefi var talsmaður ekki aðeins forvitni heldur einnig áður keypt reynsla. Staðreyndin er sú að um tvö ár síðan í FaceTime virka á Apple tæki fannst langur varnarleysi: án þekkingar á fórnarlambinu, gæti árásarmaðurinn tekið mynd úr myndavélinni.
Þar að auki er það ekki í tölvusnápur, en að nota rangt rökfræði vinnu myndbandsins sjálft. Við skiptum um pakka sem staðfestir tenginguna getur upphaf tengingin komið í stað leyfisins til að flytja myndina frá miða notandanum. Og vandamálið er að á fórnarhliðinni mun forritið íhuga þessa meðferð lögmæt, jafnvel án notenda.
Já, þetta kerfi hefur takmarkanir. Í fyrsta lagi þarftu að hefja símtal og gera það á vissan hátt. Það er, fórnarlambið mun alltaf geta svarað. Í öðru lagi mun hlutinn af gögnum sem fæst sem afleiðing verður mjög takmörkuð. Myndin er fast frá framan myndavélinni - og það er ekki staðreynd að það lítur út þar sem þú þarft árásarmann. Að auki mun fórnin sjá símtalið og annaðhvort taka það eða sleppa því. Með öðrum orðum, það er leynilega mögulegt að ganga úr skugga um að aðeins snjallsíminn í höndum snjallsímans þegar hann ranns.
En ástandið er enn óþægilegt, og það getur stundum verið nóg af slíkum upplýsingum. Natalie fann svipaða veikleika í öllum ofangreindum forritum. Verkefnið þeirra var frábrugðin boðberi til sendiboða, en grundvallaratriði var sama. Góðar fréttir fyrir Telegram og Viber Lovers: Þeir eru svo sviptir slíkum galli, með myndsímtölum þeirra er allt í lagi. Að minnsta kosti, hingað til hefur ekki verið greind.
Í Google Duo var varnarleysi lokað í desember á síðasta ári, á Facebook Messenger - í nóvember, Jiochat og Mokka voru uppfærðar í sumar. En áður en allt er merki leiðrétt svipuð mistök, aftur í september 2019, en þessi boðberi og rannsakaði fyrsta. Þannig minnkaði Cybersecurity sérfræðingar enn frekar þörfina á reglulegum uppfærslum um uppsett forrit. Þú getur ekki vitað um alvarlegt vandamál, en verktaki hefur þegar leiðrétt það.
Silvanovich skýrir sérstaklega að hún greindi aðeins hlutverk myndsímtala milli tveggja notenda. Það er aðeins málið þar sem tengingin er stofnuð milli "áskrifenda" beint. Í skýrslunni tilkynnti hún næsta stig vinnu - hópur vídeó fundur í vinsælum boðberi.
Heimild: Naked Science