Di blog di laman web pasukan Google Project Zero, Natalie Silvanovich (Natalie Silvanovich) menyifatkan penyelidikannya mengenai keselamatan aplikasi popular untuk komunikasi. Dia menghabiskan kerja pada tahun 2020 dan, mengikut kod yang menyalahi undang-undang yang dipanggil penggodam putih, yang diterbitkan hasil selepas kelemahan itu dihapuskan.
Natalie menganalisis logik ciri video dalam isyarat, Facebook Messenger, Google Duo, Jiochat dan Mocha. Pada langkah sedemikian, ia telah dianjurkan bukan sahaja rasa ingin tahu, tetapi juga pengalaman yang diperoleh sebelum ini. Faktanya ialah kira-kira dua tahun yang lalu dalam fungsi FaceTime pada peranti Apple mendapati kelemahan yang panjang: tanpa pengetahuan mangsa, penyerang dapat menangkap gambar dari kamera telefon.
Selain itu, ia tidak menggodam aplikasi, tetapi untuk menggunakan logik yang salah dari kerja pautan video itu sendiri. Di pertukaran pakej yang mengesahkan sambungan, sambungan yang memulakan dapat menggantikan kebenaran untuk memindahkan gambar dari pengguna sasaran. Dan masalahnya ialah pada sisi pengorbanan, program ini akan mempertimbangkan manipulasi ini sah, walaupun tanpa tindakan pengguna.
Ya, skim ini mempunyai batasan. Pertama, anda perlu memulakan panggilan dan melakukannya dengan cara tertentu. Iaitu, mangsa akan sentiasa dapat bertindak balas. Kedua, bahagian data yang diperolehi akibatnya akan sangat terhad. Gambar itu ditetapkan dari kamera depan - dan bukan fakta bahawa ia kelihatan di mana anda memerlukan penyerang. Di samping itu, pengorbanan akan melihat panggilan dan sama ada mengambil atau menurunkannya. Dalam erti kata lain, diam-diam mungkin untuk memastikan hanya telefon pintar di tangan telefon pintar apabila dia ranns.
Tetapi keadaan masih tidak menyenangkan, dan kadang-kadang ada maklumat yang mencukupi. Natalie mendapati kelemahan yang sama dalam semua aplikasi di atas. Mekanisme kerja mereka berbeza dari Rasul kepada Rasul, tetapi skim asasnya tetap sama. Berita baik untuk Telegram dan Pencinta Viber: Mereka sangat kehilangan kecacatan itu, dengan panggilan video mereka segala-galanya adalah teratur. Sekurang-kurangnya, setakat ini belum dikenalpasti.
Di Google Duo, kelemahan ditutup pada Disember tahun lepas, di Facebook Messenger - pada bulan November, Jiochat dan Mocha telah dikemas kini pada musim panas. Tetapi sebelum semua, isyarat membetulkan kesilapan yang sama, kembali pada September 2019, tetapi utusan ini dan menyiasat yang pertama. Oleh itu, pakar keselamatan siber sekali lagi mengingatkan keperluan untuk kemas kini tetap aplikasi yang dipasang. Anda tidak boleh tahu tentang masalah yang serius, tetapi pemaju telah membetulkannya.
Silvanovich secara berasingan menyatakan bahawa dia hanya menganalisis fungsi panggilan video antara dua pengguna. Iaitu, hanya kes di mana sambungan ditubuhkan di antara "pelanggan" secara langsung. Dalam laporannya, beliau mengumumkan peringkat seterusnya kerja - persidangan video kumpulan dalam utusan popular.
Sumber: Sains Naked