Natalie Silvanovich (Natalie Silvanovich)는 Google 프로젝트 제로 팀 웹 사이트의 블로그에서 의사 소통을위한 인기있는 응용 프로그램의 보안에 대한 연구를 설명했습니다. 그녀는 2020 년에 일을 보냈고, 취약점이 제거 된 후 소위 백색 해커의 불법적 인 코드에 따라 취약점이 제거 된 결과를 발표했습니다.
Natalie는 신호, 페이스 북의 메신저, Google Duo, Jiochat 및 Mocha의 비디오 기능의 논리를 분석했습니다. 이러한 단계에서는 호기심뿐만 아니라 이전에 획득 한 경험을 옹호했습니다. 사실은 약 2 년 전 Apple 장치의 FaceTime 기능에서 오랜 취약점을 발견했습니다. 피해자에 대한 지식이 없으면 공격자가 전화기 카메라에서 사진을 캡처 할 수 있습니다.
또한 응용 프로그램을 해킹하지는 않지만 비디오 링크 자체의 작업의 잘못된 논리를 사용하는 것이 아닙니다. 패키지 교환에서 연결을 확인하면 시작 연결이 사용 권한을 대상 사용자로부터 전송할 수 있습니다. 그리고 문제는 희생 측면 에서이 프로그램이 사용자 행동 없이도이 조작을 합법적으로 고려합니다.
예,이 구성표에는 제한이 있습니다. 첫째, 전화를 시작하고 특정 방식으로 해결해야합니다. 즉, 희생자는 항상 응답 할 수 있습니다. 둘째, 결과적으로 얻은 데이터의 일부는 매우 제한적일 것입니다. 그림은 앞면 카메라에서 고정되어 있습니다. 그리고 공격자가 필요한 곳이 보입니다. 또한 희생은 전화를보고 그것을 가져가거나 삭제합니다. 즉, 스마트 폰 만 스마트 폰의 손에있는 스마트 폰만이 Ranns 할 때만 사용하는 것이 비밀리에 가능합니다.
그러나 상황은 여전히 불쾌하고 때로는 그러한 정보가있을 수 있습니다. 나탈리는 위의 모든 응용 프로그램에서 유사한 취약점을 발견했습니다. 그들의 작업 메커니즘은 메신저와 메신저에 달려 있지만 근본적으로 동일하게 유지되었습니다. 전보 및 viber 연인을위한 좋은 소식 : 그들은 그런 결함을 너무 빼앗 었으며, 비디오가 모든 것이 순서대로 부릅니다. 적어도 지금까지는 식별되지 않았습니다.
Google Duo 에서이 취약점은 작년에 12 월에 폐쇄되었으며, 11 월, Jiochat 및 Mocha는 여름에 업데이 트되었습니다. 그러나 전부 전에 신호는 2019 년 9 월에 비슷한 실수를 수정했지만이 메신저가 먼저 조사되었습니다. 따라서 CyberSecurity 전문가는 설치된 응용 프로그램의 정기적 인 업데이트 필요성을 다시 생각 나게합니다. 심각한 문제에 대해 알 수는 없지만 개발자는 이미 그것을 수정했습니다.
Silvanovich는 별도로 두 사용자 간의 화상 통화 기능 만 분석했습니다. 즉, "가입자"사이에 연결이 직접 연결되는 경우에만 사용할 수 있습니다. 그의 보고서에서, 그녀는 인기있는 메신저에서 비디오 회의 그룹의 다음 단계의 다음 단계를 발표했습니다.
출처 : 알몸 과학