Jo blog mājas lapā Google projekta nulles komanda, Natalie Silvanovich (Natalie Silvanovich) aprakstīja savu pētījumu par drošību populāru pieteikumu komunikācijas. Viņa pavadīja darbu 2020. gadā, un saskaņā ar nelikumīgo kodu tā saukto balto hakeru, publicēja rezultātus pēc ievainojamības novēršanas.
Natalie analizēja video funkciju loģiku, Facebook Messenger, Google Duo, Jiochat un Mocha. Šādā solī tas tika atbalstīts ne tikai zinātkāri, bet arī iepriekš iegūto pieredzi. Fakts ir tāds, ka pirms diviem gadiem FaceTime funkcijā Apple ierīcēs atrada ilgu neaizsargātību: bez cietušā zināšanām, uzbrucējs var uzņemt attēlu no tālruņa kameras.
Turklāt, tas nav hacking lietojumprogrammu, bet izmantot nepareizu loģiku darbam ar video saiti uz sevi. Pakešu apmaiņā, kas apstiprina savienojumu, pieslēgums var aizstāt atļauju pārsūtīt attēlu no mērķa lietotāja. Un problēma ir tā, ka upurēšanas pusē programma izskatīs šo manipulāciju likumīgu, pat bez lietotāja darbības.
Jā, šī shēma ir ierobežojumi. Pirmkārt, jums ir nepieciešams uzsākt zvanu un darīt to noteiktā veidā. Tas ir, cietušais vienmēr varēs atbildēt. Otrkārt, tā iegūto datu daļa būs ļoti ierobežota. Attēls ir fiksēts no priekšējās kameras - un tas nav fakts, ka tas izskatās, kur jums ir nepieciešams uzbrucējs. Turklāt upuris redzēs zvanu un vai nu to aizvedīs vai piliens to. Citiem vārdiem sakot, ir ļoti iespējams pārliecināties tikai viedtālrunis viedtālruņa rokās, kad viņš ranns.
Bet situācija joprojām ir nepatīkama, un dažkārt var būt pietiekama šāda informācija. Natalie atrada līdzīgas ievainojamības visās iepriekš minētajās lietojumprogrammās. Viņu darba mehānisms atšķiras no Messenger uz Messenger, bet būtiski shēma palika nemainīga. Labas ziņas telegrammai un viber mīļotājiem: tie ir tik atņemti no tik trūkumiem, ar viņu video zvaniem viss ir kārtībā. Līdz šim līdz šim nav identificēti.
Google Duo, neaizsargātība tika slēgta pagājušā gada decembrī, Facebook Messenger - novembrī, Jiochat un Mocha tika atjaunināti vasarā. Bet pirms visiem, signāls koriģēja līdzīgu kļūdu, 2019. gada septembrī, bet šis ziņotājs un izmeklēja pirmo. Tādējādi kiberdrošības eksperti atkal atgādināja nepieciešamību regulāri atjaunināt instalētās lietojumprogrammas. Jūs nevarat zināt par nopietnu problēmu, bet izstrādātāji jau ir labojuši to.
Silvanovičs atsevišķi atzīmē, ka viņa analizēja tikai video zvanu funkciju starp diviem lietotājiem. Tas ir, tikai tad, kad savienojums ir izveidots starp "abonentiem" tieši. Savā ziņojumā viņa paziņoja par nākamo posmu darba - grupu video konferences tautas vēstnešiem.
Avots: Naked Science