I bloggen på nettsiden til Google Project Zero Team beskrev Natalie Silvanovich (Natalie Silvanovich sin forskning om sikkerheten til populære applikasjoner for kommunikasjon. Hun tilbrakte arbeidet i 2020 og i samsvar med den ulovlige koden til de såkalte hvite hackerne, ble publiserte resultater etter at sårbarhetene ble eliminert.
Natalie analyserte logikken til videofunksjonene i Signal, Facebook Messenger, Google Duo, Jiochat og Mocha. På et slikt skritt ble det foreslo ikke bare nysgjerrighet, men også den tidligere oppnådde opplevelsen. Faktum er at for omtrent to år siden i FaceTime-funksjonen på Apple-enheter fant et langt sårbarhet: uten kjennskap til offeret, kan angriperen fange et bilde fra telefonkameraet.
Videre er det ikke i hacking et program, men for å bruke feil logikk på arbeidet med videoforbindelsen selv. Ved utveksling av pakker som bekrefter forbindelsen, kan initieringsforbindelsen erstatte tillatelsen til å overføre bildet fra målbrukeren. Og problemet er at programmet på offeret vil vurdere denne manipulering legitimt, selv uten brukerhandlinger.
Ja, denne ordningen har begrensninger. Først må du starte en samtale og gjøre det på en bestemt måte. Det vil si at offeret alltid vil kunne svare. For det andre vil delen av dataene som oppnås som et resultat være svært begrenset. Bildet er løst fra frontkameraet - og det er ikke et faktum at det ser ut hvor du trenger en angriper. I tillegg vil offeret se anropet og enten ta det eller dråper det. Med andre ord er det hemmelig mulig å sørge for bare smarttelefonen i hendene på smarttelefonen når han rannes.
Men situasjonen er fortsatt ubehagelig, og det kan noen ganger være nok slik informasjon. Natalie fant lignende sårbarheter i alle de ovennevnte applikasjonene. Deres arbeidsmekanisme var forskjellig fra budbringeren til budbringeren, men en fundamentalt ordningen var det samme. Gode nyheter for telegram og viber elskere: de er så fratatt slike feil, med sine videosamtaler alt er i orden. I det minste har hittil ikke blitt identifisert.
I Google Duo ble sårbarheten stengt i desember i fjor, på Facebook Messenger - i november, ble JiOchat og Mocha oppdatert om sommeren. Men før alt korrigert signalet en lignende feil, tilbake i september 2019, men denne messengeren og undersøkte den første. Dermed minnet cybersikkerhetseksperter igjen behovet for vanlige oppdateringer av installerte applikasjoner. Du kan ikke vite om et alvorlig problem, men utviklerne har allerede korrigert det.
Silvanovich merker separat at hun bare analyserte funksjonen til videoanrop mellom to brukere. Det vil si bare tilfellet der forbindelsen er etablert mellom "abonnenter" direkte. I sin rapport annonserte hun den neste fasen av arbeidet - gruppekonferanser i populære budbringere.
Kilde: Naked Science