No blog no site da equipe do Google Project Zero, Natalie Silvanovich (Natalie Silvanovich) descreveu sua pesquisa sobre a segurança de aplicações populares para comunicação. Ela passou o trabalho em 2020 e, de acordo com o código ilegal dos chamados hackers brancos, publicou resultados após as vulnerabilidades foram eliminadas.
Natalie analisou a lógica dos recursos de vídeo em sinal, Facebook Messenger, Google Duo, Jichat e Mocha. Em tal passo, foi defendido não apenas curiosidade, mas também a experiência previamente adquirida. O fato é que cerca de dois anos atrás na função FaceTime nos dispositivos da Apple encontraram uma longa vulnerabilidade: sem o conhecimento da vítima, o invasor poderia capturar uma foto da câmera do telefone.
Além disso, não é em hackear um aplicativo, mas usar a lógica incorreta do trabalho do próprio link de vídeo. Na troca de pacotes confirmando a conexão, a conexão iniciante pode substituir a permissão para transferir a imagem do usuário de destino. E o problema é que no lado do sacrifício, o programa considerará esta manipulação legítima, mesmo sem ações do usuário.
Sim, este esquema tem limitações. Primeiro, você precisa iniciar uma chamada e fazer de uma certa maneira. Ou seja, a vítima sempre será capaz de responder. Em segundo lugar, a parte dos dados obtidos como resultado será muito limitada. A imagem é fixa da câmera frontal - e não é um fato que parece onde você precisa de um atacante. Além disso, o sacrifício verá a ligação e levará ou largará. Em outras palavras, é secretamente possível certificar-se de apenas o smartphone nas mãos do smartphone quando ele reaniza.
Mas a situação ainda é desagradável, e às vezes pode ser suficiente dessas informações. Natalie encontrou vulnerabilidades semelhantes em todos os aplicativos acima. Seu mecanismo de trabalho diferiu do mensageiro para o mensageiro, mas um esquema fundamentalmente permaneceu o mesmo. Boas notícias para os amantes de telegrama e Viber: Eles são tão privados de tal falha, com suas chamadas de vídeo tudo está em ordem. Pelo menos, até agora não foram identificados.
No Google Duo, a vulnerabilidade foi fechada em dezembro do ano passado, no Facebook Messenger - em novembro, Jiochat e Mocha foram atualizados no verão. Mas antes de tudo, sinal corrigido um erro semelhante, em setembro de 2019, mas este mensageiro e investigou o primeiro. Assim, os especialistas em segurança cibernéticos mais uma vez lembraram a necessidade de atualizações regulares de aplicativos instalados. Você não pode saber sobre um problema sério, mas os desenvolvedores já o corrigiram.
Silvanovich observa que ela analisou apenas a função das chamadas de vídeo entre dois usuários. Isto é, apenas o caso em que a conexão é estabelecida entre os "assinantes" diretamente. Em seu relatório, ela anunciou a próxima fase de trabalho - videoconferência em grupo em mensageiros populares.
Fonte: Ciência nua