"Google" projekto "Natalie Silvanovich" ("Natalie Silvanovich") tinklaraštyje aprašyta savo populiarių prašymų dėl bendravimo saugumo tyrimų. Ji praleido darbą 2020 m., O pagal neteisėtą vadinamųjų baltųjų įsilaužėlių kodą paskelbė rezultatai po pažeidžiamumo.
Natalie analizavo vaizdo funkcijų logiką, "Facebook Messenger", "Google Duo", "Jiochat" ir "Mocha". Tokiu žingsniu jis buvo propaguojamas ne tik smalsumui, bet ir anksčiau įgytos patirties. Faktas yra tai, kad maždaug prieš dvejus metus "FaceTime" funkcijoje "Apple" įrenginiams nustatė ilgą pažeidžiamumą: be nukentėjusiųjų žinių, užpuolikas galėjo užfiksuoti nuotrauką iš telefono kameros.
Be to, tai nėra įsilaužimo paraiška, bet naudoti neteisingą vaizdo įrašo nuorodos darbo logiką. Pasibaigus ryšiams, patvirtinančiais ryšį, keičiasi, inicijavimas gali pakeisti leidimą perkelti nuotrauką iš tikslinio vartotojo. Ir problema yra ta, kad aukos pusėje programa apsvarstys šią manipuliavimą teisėtą, net ir be vartotojų veiksmų.
Taip, ši schema turi apribojimų. Pirma, jums reikia inicijuoti skambutį ir padaryti jį tam tikru būdu. Tai yra, auka visada galės atsakyti. Antra, gautų duomenų dalis bus labai ribota. Vaizdas yra pritvirtintas nuo priekinės kameros - ir tai nėra faktas, kad jis atrodo, kur jums reikia užpuoliko. Be to, auka matys skambutį ir paims jį arba jį nuleis. Kitaip tariant, tai slapta įmanoma įsitikinti tik išmaniojo telefono į išmanųjį telefoną rankose, kai jis ranns.
Tačiau situacija vis dar yra nemaloniausia, ir kartais gali būti pakankamai tokios informacijos. Natalie rado panašius pažeidžiamumus visose pirmiau minėtose programose. Jų darbo mechanizmas skyrėsi nuo pasiuntinio pasiuntiniu, tačiau iš esmės schema išliko tokia pati. Geros naujienos telegramui ir "Viber" mėgėjams: jie yra labai atimta tokio trūkumo, su savo vaizdo skambučiais viskas yra tvarkinga. Bent jau iki šiol nebuvo nustatyta.
"Google Duo" pažeidžiamumas buvo uždarytas praėjusių metų gruodžio mėn. "Facebook Messenger" - lapkričio mėn. Jiochat ir Mocha buvo atnaujinta vasarą. Tačiau prieš viską, signalas pataisė panašią klaidą, atgal 2019 m. Rugsėjo mėn., Bet šis pasiuntinys ir tiria pirmąjį. Taigi kibernetinio saugumo ekspertai dar kartą priminė, kad reikia reguliariai atnaujinti įdiegtų programų. Jūs negalite žinoti apie rimtą problemą, tačiau kūrėjai jau ištaisė.
Silvanovich atskirai pažymi, kad ji analizavo tik vaizdo skambučių funkciją tarp dviejų naudotojų. Tai yra tik atvejis, kai ryšys yra nustatytas tarp "abonentų" tiesiogiai. Savo ataskaitoje ji paskelbė kitą darbo etapą - grupės vaizdo konferencijas populiariuose pasiuntiniuose.
Šaltinis: nuogas mokslas