In de blog op de website van het Google Project Zero Team beschreef Natalie Silvanovich (Natalie Silvanovich) zijn onderzoek naar de veiligheid van populaire toepassingen voor communicatie. Ze bracht het werk in 2020 door en, in overeenstemming met de onwettige code van de zogenaamde witte hackers, resulteerde resultaten nadat de kwetsbaarheden werden geëlimineerd.
Natalie analyseerde de logica van de videofuncties in signaal, Facebook Messenger, Google Duo, Jiochat en Mocha. Bij een dergelijke stap werd het niet alleen gepleit voor nieuwsgierigheid, maar ook de eerder verworven ervaring. Het feit is dat ongeveer twee jaar geleden in de Facetime-functie op Apple-apparaten een lange kwetsbaarheid heeft gevonden: zonder de kennis van het slachtoffer, kon de aanvaller een afbeelding van de telefooncamera vangen.
Bovendien is het niet in het hacken van een aanvraag, maar om de onjuiste logica van het werk van de videoverbinding zelf te gebruiken. Bij de uitwisseling van pakketten die de verbinding bevestigen, kan de initiërende verbinding de toestemming vervangen om de afbeelding van de doelgebruiker over te dragen. En het probleem is dat het programma op de offerzijde, het programma van deze manipulatie zal overwegen, zelfs zonder gebruikersacties.
Ja, deze regeling heeft beperkingen. Eerst moet je een oproep initiëren en het op een bepaalde manier doen. Dat wil zeggen, het slachtoffer zal altijd kunnen reageren. Ten tweede zal het deel van de verkregen gegevens als gevolg zeer beperkt zijn. De foto is opgelost vanaf de camera-camera - en het is geen feit dat het eruit ziet waar u een aanvaller nodig hebt. Bovendien ziet het offer de oproep en neemt u het of laat het vallen. Met andere woorden, het is heimelijk mogelijk om er alleen voor te zorgen dat alleen de smartphone in de handen van de smartphone wanneer hij rannt.
Maar de situatie is nog steeds onaangenaam, en er kunnen soms voldoende informatie zijn. Natalie heeft vergelijkbare kwetsbaarheden gevonden in alle bovenstaande toepassingen. Hun werkmechanisme verschilde van de boodschapper naar de boodschapper, maar een fundamenteel schema bleef hetzelfde. Goed nieuws voor telegram- en viberliefhebbers: ze zijn zo beroofd van een dergelijke fout, met hun videogesprekken alles in orde is. Tenminste, tot nu toe niet geïdentificeerd.
In Google Duo was de kwetsbaarheid in december afgelopen jaar gesloten, op Facebook Messenger - in november werden Jiochat en Mocha in de zomer bijgewerkt. Maar voor alles, signaal gecorrigeerd een vergelijkbare fout, terug in september 2019, maar deze boodschapper en onderzocht de eerste. Zo herinnerden Cybersecurity-experts opnieuw de behoefte aan regelmatige updates van geïnstalleerde applicaties. Je kunt niet weten over een serieus probleem, maar de ontwikkelaars hebben het al gecorrigeerd.
Silvanovich neemt afzonderlijk op dat ze alleen de functie van videogesprekken tussen twee gebruikers heeft geanalyseerd. Dat wil zeggen, alleen het geval waarin de verbinding rechtstreeks wordt gevestigd tussen de "abonnees". In zijn rapport kondigde ze de volgende fase van werk aan - groep videoconferencing in populaire boodschappers.
Bron: Naked Science