Googleプロジェクトゼロチームのウェブサイトのブログでは、Natalie Silvanovich(Natalie Silvanovich)は、コミュニケーションのための一般的なアプリケーションのセキュリティに関する研究を説明しました。彼女は2020年に仕事を過ごし、いわゆる白いハッカーの違法なコードに従って、脆弱性が排除された後に発行された結果が排除されました。
Natalieは、信号、Facebook Messenger、Google Duo、Jiochat、Mochaのビデオ機能のロジックを分析しました。そのようなステップでは、好奇心だけでなく、以前に取得した経験も主張した。事実は、約2年前、Appleデバイスのファクタイム機能では長い脆弱性を発見しました。犠牲者の知識がなく、攻撃者は電話カメラから絵を撮ることができます。
さらに、それはアプリケーションをハッキングしていませんが、ビデオリンク自体の作業の誤ったロジックを使用します。接続を確認するパッケージの交換時に、開始接続はターゲットユーザーから画像を転送するための許可を置き換えることができます。そして問題は、犠牲側では、ユーザの行動なしでもこの操作を合法的に考慮することである。
はい、この方式には制限があります。まず、電話を開始して特定の方法で行う必要があります。つまり、被害者は常に対応できるでしょう。第二に、結果として得られたデータの部分は非常に限られているであろう。写真はフロントカメラから固定されています - それはあなたが攻撃者が必要な場所に見えるという事実ではありません。さらに、犠牲に電話がかかり、それを取るか、それを落とします。言い換えれば、彼がRannsのときスマートフォンの手の中にスマートフォンだけを確かめることを密かに可能です。
しかし、状況はまだ不快であり、時には十分な情報がある場合があります。 Natalieは、上記のすべてのアプリケーションで類似の脆弱性を発見しました。彼らの作業メカニズムはメッセンジャーとメッセンジャーとは異なりますが、基本的にスキームは同じままでした。テレグラムとビーバーの愛好家のための良いニュース:彼らはそのような欠陥を奪われています。ビデオ通話はすべて順番にあります。少なくとも、これまでのところ識別されていない。
Google Duoでは、11月に昨年12月に脆弱性が閉鎖されました - 11月のJiochatとMochaは夏に更新されました。しかし、全部の前に、2019年9月に、同様の間違いを修正しましたが、このメッセンジャーで最初に調査しました。したがって、サイバーセキュリティの専門家は、インストールされているアプリケーションの定期的な更新の必要性を再び思い出しました。あなたは深刻な問題について知ることができませんが、開発者はすでにそれを修正しました。
Silvanovichは、2人のユーザー間のビデオ通話の機能のみを分析したと、別に注意してください。つまり、「加入者」の間に直接接続が確立されている場合のみです。彼の報告では、彼女は人気のあるメッセンジャーの職場ビデオ会議の次の段階を発表しました。
出典:裸の科学