Na blogu na stronie internetowej projektu Google Zero Team, Natalie Silvanovich (Natalie Silvanovich) opisał swoje badania nad bezpieczeństwem popularnych aplikacji do komunikacji. Spędziła pracę w 2020 r., A zgodnie z bezprawnym kodem tzw. Białych hakerów, opublikowano wyniki po wyeliminowaniu luk.
Natalie przeanalizowała logikę funkcji wideo w sygnale, Messenger Facebook, Google Duo, Jiochat i Mocha. W takim kroku został opowiadany za nie tylko ciekawością, ale także wcześniej nabyte doświadczenie. Faktem jest, że około dwóch lat temu w funkcji FaceTime na urządzeniach Apple znalazł długą lukę: bez znajomości ofiary, atakujący może uchwycić zdjęcie z aparatu telefonu.
Ponadto nie jest w hakowaniu aplikacji, ale użyć nieprawidłowej logiki pracy samego łącza wideo. Na wymianie pakietów potwierdzających połączenie, połączenie inicjujące może zastąpić zgodę na przesyłanie obrazu od użytkownika docelowego. Problem polega na tym, że po stronie ofiary, program rozważy to uzasadnione manipulacje, nawet bez działań użytkownika.
Tak, ten schemat ma ograniczenia. Po pierwsze, musisz zainicjować połączenie i zrobić to w określony sposób. Oznacza to, że ofiara będzie mogła odpowiedzieć. Po drugie, część danych uzyskanych w wyniku czego będzie bardzo ograniczona. Obraz jest zamocowany z frontowej kamery - i nie jest to fakt, że wygląda tam, gdzie potrzebujesz atakującego. Ponadto ofiara zobaczy połączenie i zabierze go, albo je spuszcza. Innymi słowy, potajemnie można upewnić się, że tylko smartfon w rękach smartfona, kiedy Ranns.
Ale sytuacja jest nadal nieprzyjemna, a czasami może być wystarczająco dużo takich informacji. Natalie znalazła podobne luki we wszystkich powyższych aplikacjach. Ich mechanizm pracy różnił się od posłańca do posłańca, ale zasadniczo schemat pozostał taki sam. Dobra wiadomość dla miłośników telegramu i Viber: są tak pozbawione takiej wady, a ich połączenia wideo wszystko jest w porządku. Przynajmniej do tej pory nie zostały zidentyfikowane.
W Google Duo luka została zamknięta w grudniu ubiegłego roku na Facebooku Messenger - w listopadzie, Jiochat i Mocha zostały zaktualizowane w lecie. Ale przed wszystkim, sygnał poprawił podobny błąd, wrócił we wrześniu 2019 r., Ale ten posłaniec i zbadał pierwszy. W ten sposób eksperci Cypersecurity ponownie przypomniali potrzebom regularnych aktualizacji zainstalowanych aplikacji. Nie możesz wiedzieć o poważnym problemie, ale deweloperzy już je poprawili.
Silvanovich oddzielnie zauważa, że przeanalizowała tylko funkcję połączeń wideo między dwoma użytkownikami. To jest tylko przypadek, w którym połączenie jest ustalone między "abonentami" bezpośrednio. W swoim raporcie ogłosił kolejny etap pracy - grupy wideokonferencji w popularnych posłańców.
Źródło: Naked Science