Sa blog sa website ng Google Project Zero team, inilarawan ni Natalie Silvanovich (Natalie Silvanovich) ang pananaliksik nito sa seguridad ng mga popular na application para sa komunikasyon. Ginugol niya ang trabaho sa 2020 at, alinsunod sa labag sa batas na code ng tinatawag na puting hacker, na-publish na mga resulta pagkatapos ng mga kahinaan ay inalis.
Sinuri ni Natalie ang lohika ng mga tampok ng video sa signal, Facebook Messenger, Google Duo, Jiochat at Mocha. Sa ganoong hakbang, ito ay itinataguyod hindi lamang kuryusidad, kundi pati na rin ang dating nakuha na karanasan. Ang katotohanan ay na mga dalawang taon na ang nakalilipas sa function ng FaceTime sa mga aparatong Apple ay natagpuan ang isang mahabang kahinaan: Kung wala ang kaalaman sa biktima, maaaring makuha ng magsasalakay ang isang larawan mula sa camera ng telepono.
Bukod dito, hindi ito sa pag-hack ng isang application, ngunit upang gamitin ang maling lohika ng trabaho ng link ng video mismo. Sa pagpapalitan ng mga pakete na nagpapatunay sa koneksyon, maaaring palitan ng koneksyon sa pagsisimula ang pahintulot upang ilipat ang larawan mula sa target na gumagamit. At ang problema ay sa sakripisyo, ang programa ay isaalang-alang ang pagmamanipula na ito na lehitimong, kahit na walang mga pagkilos ng gumagamit.
Oo, ang pamamaraan na ito ay may mga limitasyon. Una, kailangan mong simulan ang isang tawag at gawin ito sa isang tiyak na paraan. Iyon ay, ang biktima ay laging makatugon. Pangalawa, ang bahagi ng data na nakuha bilang isang resulta ay limitado. Ang larawan ay naayos mula sa front camera - at ito ay hindi isang katotohanan na ito ay tumingin kung saan kailangan mo ng isang magsasalakay. Bilang karagdagan, makikita ng sakripisyo ang tawag at alinman sa kunin o i-drop ito. Sa ibang salita, ito ay lihim na posible upang tiyakin lamang ang smartphone sa mga kamay ng smartphone kapag siya ranns.
Ngunit ang sitwasyon ay hindi kanais-nais, at maaaring minsan ay sapat na ang gayong impormasyon. Natuklasan ni Natalie ang mga katulad na kahinaan sa lahat ng mga aplikasyon sa itaas. Ang kanilang mekanismo sa trabaho ay naiiba mula sa mensahero hanggang sa mensahero, ngunit ang isang panimula ay nanatiling pareho. Magandang balita para sa telegrama at mga mahilig sa viber: ang mga ito ay napigilan ng naturang kapintasan, sa kanilang mga tawag sa video ang lahat ay nasa order. Hindi bababa sa, sa ngayon ay hindi nakilala.
Sa Google Duo, ang kahinaan ay sarado noong Disyembre noong nakaraang taon, sa Facebook Messenger - noong Nobyembre, ang Jiochat at Mocha ay na-update sa tag-init. Ngunit bago ang lahat, ang signal ay naitama ang isang katulad na pagkakamali, pabalik noong Setyembre 2019, ngunit ang mensahero at sinisiyasat ang una. Kaya, muling naalaala ng mga eksperto sa cybersecurity ang pangangailangan para sa mga regular na pag-update ng mga naka-install na application. Hindi mo maaaring malaman ang tungkol sa isang malubhang problema, ngunit ang mga developer ay naitama na ito.
Ang Silvanovich ay magkahiwalay na mga tala na pinag-aralan lamang niya ang pag-andar ng mga tawag sa video sa pagitan ng dalawang gumagamit. Iyon ay, tanging ang kaso kung saan ang koneksyon ay itinatag sa pagitan ng "mga tagasuskribi" nang direkta. Sa kanyang ulat, inihayag niya ang susunod na yugto ng trabaho - grupo ng video conferencing sa mga sikat na mensahero.
Pinagmulan: Naked Science.