Google प्रोजेक्ट झीरो टीमच्या वेबसाइटवरील ब्लॉगमध्ये, नताली सिल्वानोविच (नताली सिल्वानोविच) यांनी संप्रेषणासाठी लोकप्रिय अनुप्रयोगांच्या सुरक्षेच्या सुरक्षेवर वर्णन केले. तिने 2020 मध्ये काम केले आणि तथाकथित व्हाईट हॅकर्सच्या बेकायदेशीर कोडनुसार, भेद्यता नंतर प्रकाशित केले गेले.
सिग्नल, फेसबुक मेसेंजर, Google डुओ, ज्योचॅट आणि मोचा मधील व्हिडिओ वैशिष्ट्यांचा तर्कशास्त्रज्ञ नटली यांनी विश्लेषण केले. अशा चरणावर, केवळ जिज्ञासा नव्हे तर पूर्वी अधिग्रहित अनुभवाचा देखील वकिल झाला. वस्तुस्थिती अशी आहे की सुमारे दोन वर्षांपूर्वी ऍपल डिव्हाइसेसवरील फेसटाइम फंक्शनमध्ये दीर्घ भेद्यता आढळली: पीडितांच्या माहितीशिवाय, आक्रमणकर्ता फोन कॅमेर्यातून एक चित्र कॅप्चर करू शकतो.
शिवाय, तो अनुप्रयोग हॅकिंगमध्ये नाही, परंतु व्हिडिओ लिंकच्या कामाच्या चुकीचा लॉजिक वापरण्यासाठी. कनेक्शनची पुष्टी करणार्या संकुलांच्या एक्सचेंजमध्ये, प्रारंभिक कनेक्शन लक्ष्य वापरकर्त्याकडून चित्र स्थानांतरित करण्याची परवानगी बदलू शकते. आणि समस्या अशी आहे की त्या बलिदानाच्या बाजूला, प्रोग्राम या मॅनिप्युलेशन वैध, वापरकर्ता क्रियांशिवाय देखील विचार करेल.
होय, या योजनेची मर्यादा आहे. प्रथम, आपल्याला एक कॉल सुरू करण्याची आणि विशिष्ट प्रकारे करा. म्हणजे, पीडित नेहमी प्रतिसाद देण्यास सक्षम असेल. दुसरे म्हणजे, परिणामी प्राप्त झालेल्या डेटाचा भाग खूप मर्यादित असेल. चित्र फ्रंट कॅमेरामधून निश्चित आहे - आणि हे तथ्य नाही की आपल्याला आक्रमणकर्त्याची आवश्यकता आहे. याव्यतिरिक्त, बलिदान कॉल दिसेल आणि ते एकतर घेईल किंवा ड्रॉप करेल. दुसर्या शब्दात, स्मार्टफोनच्या हातात फक्त स्मार्टफोन हे सुनिश्चित करणे गुप्तपणे शक्य आहे.
पण परिस्थिती अद्याप अप्रिय आहे आणि कधीकधी अशी माहिती असू शकते. Natalile वरील सर्व अनुप्रयोगांमध्ये समान कमकुवतपणा आढळले. त्यांचे कार्य यंत्रणा मेसेंजरकडून मेसेंजरला भिन्न आहे, परंतु मूलभूत योजना समान राहिली. टेलीग्राम आणि Viber प्रेमींसाठी चांगली बातमी: ते अशा प्रकारच्या दोषांपासून वंचित आहेत, त्यांच्या व्हिडिओ कॉलसह सर्व काही व्यवस्थित आहे. किमान आतापर्यंत ओळखले गेले नाही.
गुगल डीयू मध्ये, गेल्या वर्षी डिसेंबरमध्ये भेद्यता बंद करण्यात आली होती. परंतु सर्व आधी, सिग्नल सप्टेंबर 201 9 मध्ये परत समान चूक सुधारली, परंतु हा संदेशवाहक आणि प्रथम तपासला. अशा प्रकारे, सायबर सुरक्षा तज्ञांनी पुन्हा एकदा स्थापित अनुप्रयोगांच्या नियमित अद्यतनांची आवश्यकता आठवण करून दिली. आपल्याला गंभीर समस्येबद्दल माहिती नाही, परंतु विकासकांनी ते सुधारित केले आहे.
सिल्वानोविच वेगळ्या नोट्सने दोन वापरकर्त्यांमधील व्हिडिओ कॉलचे विश्लेषण केले आहे. म्हणजेच, केवळ अशा प्रकरणात कनेक्शन थेट "ग्राहक" दरम्यान स्थापित केले आहे. त्याच्या अहवालात, तिने पुढच्या संदेशाची घोषणा केली - लोकप्रिय संदेशवाहकांमध्ये गट व्हिडिओ कॉन्फरन्सिंग.
स्त्रोत: नग्न विज्ञान