V spletnem dnevniku na spletni strani Google Project Zero Team, Natalie Silvanovich (Natalie Silvanovich) je opisal svoje raziskave o varnosti priljubljenih aplikacij za komunikacijo. Delo je preživela leta 2020 in v skladu z nezakonito kodo tako imenovanih belih hekerjev, objavljenih rezultatov po izločitvi ranljivosti.
Natalie je analizirala logiko video funkcij v signalu, Facebook Messenger, Google Duo, Jiochat in Mocha. V takem koraku je bil zagovarjal ne le radovednost, temveč tudi predhodno pridobljene izkušnje. Dejstvo je, da približno dve leti v fazime funkciji na napravah Apple je našla dolgo ranljivost: brez znanja žrtve, napadalca bi lahko posnela sliko iz telefonske kamere.
Poleg tega ne gre za vdor aplikacije, ampak uporabiti napačno logiko dela video povezave. Pri izmenjavi paketov, ki potrjujejo povezavo, lahko sprožilna povezava nadomesti dovoljenje za prenos slike iz ciljnega uporabnika. Problem je, da bo na strani žrtvovanja, bo program upošteval to manipulacijo legitimno, tudi brez dejanj uporabnikov.
Da, ta shema ima omejitve. Najprej morate sprožiti klic in to storiti na določen način. To pomeni, da se bo žrtev vedno lahko odzvala. Drugič, del podatkov, pridobljenih kot rezultat, bo zelo omejen. Slika je pritrjena iz sprednje kamere - in to ni dejstvo, da izgleda, kje potrebujete napadalca. Poleg tega bo žrtvovanje videli klic in ga vzemite ali pade. Z drugimi besedami, to je skrivaj mogoče, da se prepričate samo pametni telefon v rokah pametnega telefona, ko se zmanjka.
Toda situacija je še vedno neprijetna, včasih pa je včasih dovolj take informacije. Natalie je našel podobne ranljivosti v vseh zgoraj navedenih aplikacijah. Njihov delovni mehanizem se je razlikoval od glasnika do Messengerja, vendar je temeljna shema ostala enaka. Dobra novica za telegram in ljubitelji Viber: tako jim je prikrajšana za takšno napako, s svojimi video klici vse je v redu. Vsaj doslej ni bila identificirana.
V Google Duo se je ranljivost zaključena decembra lani, na Facebooku Messenger - novembra, Jiochat in Mocha sta bila posodobljena poleti. Toda pred vsem, signal popravil podobno napako, nazaj septembra 2019, vendar ta messenger in preučila prvo. Tako so strokovnjaki Cybersecuary ponovno spomnili potrebo po rednih posodobitvah nameščenih aplikacij. Ne morete vedeti o resnem problemu, vendar so ga razvijalci že popravili.
Silvarovich ločeno ugotavlja, da je analizirala samo funkcijo video klicev med dvema uporabnikoma. To je le primer, v katerem se povezava vzpostavi med "naročniki" neposredno. V svojem poročilu je napovedala naslednjo fazo dela - skupinske videokonference v priljubljenih kurilih.
Vir: Naked Science