ในบล็อกบนเว็บไซต์ของ Google Project Zero Team, Natalie Silvanovich (Natalie Silvanovich) อธิบายการวิจัยเกี่ยวกับความปลอดภัยของแอปพลิเคชันยอดนิยมสำหรับการสื่อสาร เธอใช้เวลาทำงานในปี 2563 และตามหลักจรรยาบรรณที่ผิดกฎหมายของแฮกเกอร์สีขาวที่เรียกว่าผลลัพธ์ที่ตีพิมพ์หลังจากช่องโหว่ถูกกำจัด
นาตาลีวิเคราะห์ตรรกะของคุณสมบัติวิดีโอในสัญญาณ, Facebook Messenger, Google Duo, Jiochat และ Mocha ในขั้นตอนดังกล่าวมันได้รับการสนับสนุนไม่เพียง แต่อยากรู้อยากเห็น แต่ยังเป็นประสบการณ์ที่ได้มาก่อนหน้านี้ ความจริงก็คือเมื่อประมาณสองปีที่ผ่านมาในฟังก์ชั่น FaceTime บนอุปกรณ์ Apple พบว่ามีช่องโหว่ที่ยาวนาน: หากไม่มีความรู้เกี่ยวกับเหยื่อผู้โจมตีสามารถจับภาพจากกล้องโทรศัพท์ได้
นอกจากนี้ยังไม่ได้อยู่ในการแฮ็คแอปพลิเคชัน แต่ใช้ตรรกะที่ไม่ถูกต้องของการทำงานของลิงค์วิดีโอเอง ในการแลกเปลี่ยนแพคเกจยืนยันการเชื่อมต่อการเชื่อมต่อที่เริ่มต้นสามารถแทนที่การอนุญาตในการถ่ายโอนรูปภาพจากผู้ใช้เป้าหมาย และปัญหาคือในด้านการเสียสละโปรแกรมจะพิจารณาการจัดการนี้ถูกต้องตามกฎหมายแม้จะไม่มีการกระทำของผู้ใช้
ใช่รูปแบบนี้มีข้อ จำกัด ก่อนอื่นคุณต้องเริ่มการโทรและทำในแบบที่แน่นอน นั่นคือเหยื่อจะสามารถตอบสนองได้เสมอ ประการที่สองส่วนของข้อมูลที่ได้รับเป็นผลจะมี จำกัด มาก รูปภาพได้รับการแก้ไขจากกล้องด้านหน้า - และไม่ใช่ความจริงที่ว่าคุณต้องการที่คุณต้องการผู้โจมตี นอกจากนี้การเสียสละจะเห็นการโทรและรับมันหรือวางมัน กล่าวอีกนัยหนึ่งมันเป็นไปได้อย่างลับ ๆ เพื่อให้แน่ใจว่าสมาร์ทโฟนในมือของสมาร์ทโฟนเมื่อเขา ranns
แต่สถานการณ์ยังคงไม่เป็นที่พอใจและบางครั้งอาจมีข้อมูลดังกล่าวเพียงพอ นาตาลีพบช่องโหว่ที่คล้ายกันในแอปพลิเคชันทั้งหมดข้างต้น กลไกการทำงานของพวกเขาแตกต่างจากผู้ส่งสารไปยังผู้ส่งสาร แต่โครงการพื้นฐานยังคงเหมือนเดิม ข่าวดีสำหรับคนรักโทรเลขและ Viber: พวกเขาถูกกีดกันจากข้อบกพร่องดังกล่าวด้วยการโทรวิดีโอทุกอย่างตามลำดับ อย่างน้อยก็ยังไม่ได้ระบุ
ใน Google Duo ช่องโหว่ถูกปิดในเดือนธันวาคมปีที่แล้วที่ Facebook Messenger - ในเดือนพฤศจิกายน Jiochat และ Mocha ได้รับการปรับปรุงในช่วงฤดูร้อน แต่ก่อนทั้งหมดสัญญาณแก้ไขข้อผิดพลาดที่คล้ายกันกลับมาในเดือนกันยายน 2019 แต่ผู้ส่งสารนี้และตรวจสอบครั้งแรก ดังนั้นผู้เชี่ยวชาญด้านความปลอดภัยทางไซเบอร์เตือนอีกครั้งจำเป็นต้องมีการอัปเดตแอปพลิเคชันที่ติดตั้งเป็นประจำอีกครั้ง คุณไม่สามารถรู้เกี่ยวกับปัญหาร้ายแรง แต่นักพัฒนาได้แก้ไขแล้ว
Silvanovich ตั้งค่าแยกต่างหากที่เธอวิเคราะห์เฉพาะฟังก์ชั่นของการโทรวิดีโอระหว่างผู้ใช้สองคนเท่านั้น นั่นคือเฉพาะกรณีที่การเชื่อมต่อถูกสร้างขึ้นระหว่าง "สมาชิก" โดยตรง ในรายงานของเขาเธอประกาศขั้นตอนต่อไปของงาน - การประชุมผ่านวิดีโอกลุ่มในผู้ส่งสารยอดนิยม
ที่มา: วิทยาศาสตร์เปลือยกาย