V blogu na internetovej stránke Google Project Zero Team, Natalie Silvanich (Natalie Silvanich) opísal svoj výskum bezpečnosti populárnych aplikácií pre komunikáciu. Práca strávila v roku 2020 a v súlade s nezákonným kódom tzv. Biela hackerov, publikovaných výsledkov po odstránení zraniteľnosti.
Natalie analyzovala logiku video funkcií v signáli, Facebook Messenger, Google Duo, JioChat a Mocha. Pri takomto kroki to bolo obhajované nielen zvedavosť, ale aj predtým získané skúsenosti. Faktom je, že asi pred dvoma rokmi v funkcii FaceTime na zariadení Apple našiel dlhú zraniteľnosť: Bez vedomia obete by útočník mohol zachytiť obrázok z telefónnej kamery.
Okrem toho nie je v hackovaní aplikácie, ale použiť nesprávnu logiku práce samotného videa. Pri výmene balíčkov potvrdzujúcich pripojenie môže spojenie iniciovanie nahradiť povolenie preniesť obrázok z cieľového používateľa. A problémom je, že na strane obetovania bude program zvážiť túto manipuláciu legitímne, dokonca aj bez užívateľských akcií.
ÁNO, táto schéma má obmedzenia. Po prvé, musíte začať hovor a urobiť to určitým spôsobom. To znamená, že obeť bude vždy schopná reagovať. Po druhé, časť údajov získaných v dôsledku toho bude veľmi obmedzená. Obraz je upevnený z prednej kamery - a nie je to fakt, že to vyzerá, kde potrebujete útočníka. Okrem toho, obeť uvidí hovor a buď si ho vezmete alebo ho odoberie. Inými slovami, je tajne možné uistiť sa, že len smartfón v rukách smartfónu, keď Ranns.
Ale situácia je stále nepríjemná a niekedy môže byť dostatok takýchto informácií. Natalie našiel podobné zraniteľnosti vo všetkých vyššie uvedených aplikáciách. Ich pracovný mechanizmus sa líšil od posla na posla, ale zásadne schéma zostal rovnaký. Dobrá správa pre Milovníci telegramu a ViBER: Sú tak zbavení takejto chyby, s ich videohovormi je všetko v poriadku. Aspoň neboli zistené.
V službe Google Duo bola zraniteľnosť zatvorená v decembri minulého roka, na Facebook Messenger - v novembri, JioChat a Mocha boli aktualizované v lete. Ale pred všetkým, signál opravil podobnú chybu, späť v septembri 2019, ale tento posol a preskúmal prvý. Experti kybernetickej bezpečnosti teda opäť pripomenuli potrebu pravidelných aktualizácií inštalovaných aplikácií. Nemôžete vedieť o vážnom probléme, ale vývojári ho už opravili.
Silvanich samostatne poznamenáva, že analyzovala iba funkciu videohovorov medzi dvoma používateľmi. To znamená, že iba prípad, v ktorom je spojenie so sídlom medzi "predplatiteľmi" priamo. Vo svojej správe oznámila ďalšiu fázu práce - skupina videokonferencie v populárnych poslov.
Zdroj: Nahá veda