Nel blog sul sito web del team di Google Project Zero, Natalie Silvanovich (Natalie Silvanovich) ha descritto la sua ricerca sulla sicurezza delle domande popolari per la comunicazione. Ha trascorso il lavoro nel 2020 e, in conformità con il codice illegale dei cosiddetti hacker bianchi, ha pubblicato i risultati dopo che le vulnerabilità sono state eliminate.
Natalie ha analizzato la logica delle caratteristiche video nel segnale, Messenger di Facebook, Google Duo, Jiochat e Mocha. A tal passo, è stato sostenuto non solo curiosità, ma anche l'esperienza acquisita in precedenza. Il fatto è che circa due anni fa nella funzione FaceTime sui dispositivi Apple ha trovato una lunga vulnerabilità: senza la conoscenza della vittima, l'attaccante potrebbe catturare un'immagine dalla telecamera del telefono.
Inoltre, non è in hackerazione di un'applicazione, ma per utilizzare la logica errata del lavoro del collegamento video stesso. Allo scambio di pacchetti confermando la connessione, la connessione avviante può sostituire l'autorizzazione per trasferire l'immagine dall'utente di destinazione. E il problema è che sul lato sacrificio, il programma considererà questa manipolazione legittima, anche senza azioni dell'utente.
Sì, questo schema ha limiti. Innanzitutto, devi iniziare una chiamata e farlo in un certo modo. Cioè, la vittima sarà sempre in grado di rispondere. In secondo luogo, la porzione dei dati ottenuti di conseguenza sarà molto limitata. L'immagine è fissa dalla fotocamera anteriore - e non è un fatto che guarda dove hai bisogno di un attaccante. Inoltre, il sacrificio vedrà la chiamata e prenderlo o lo faranno. In altre parole, è segretamente possibile accertarsi solo lo smartphone nelle mani dello smartphone quando Rance.
Ma la situazione è ancora spiacevole, e a volte possono essere sufficienti tali informazioni. Natalie ha trovato vulnerabilità simili in tutte le applicazioni di cui sopra. Il loro meccanismo di lavoro differiva dal messenger al Messaggero, ma un schema fondamentalmente rimase lo stesso. Buone notizie per i telegrammi e gli amanti del Viber: sono così privati di tale difetto, con le loro videochiamate che tutto è in ordine. Almeno, finora non sono stati identificati.
In Google Duo, la vulnerabilità è stata chiusa a dicembre dello scorso anno, a Facebook Messenger - a novembre, Jiochat e Mocha sono stati aggiornati in estate. Ma prima di tutto, il segnale ha corretto un errore simile, torna nel settembre 2019, ma questo messaggero e ha studiato il primo. Pertanto, gli esperti di cybersecurity ha ricordato ancora una volta la necessità di aggiornamenti regolari delle applicazioni installate. Non puoi sapere un problema serio, ma gli sviluppatori lo hanno già corretto.
Silvanovich rileva separatamente che ha analizzato solo la funzione delle videochiamate tra due utenti. Cioè, solo il caso in cui è stabilita la connessione tra i "abbonati" direttamente. Nel suo rapporto, ha annunciato la prossima fase del lavoro - videoconferenza di gruppo nei messengatori popolari.
Fonte: scienza nuda