Google Project'in web sitesindeki blogda Natalie Silvanovich (Natalie Silvanovich), iletişim için popüler uygulamaların güvenliği hakkındaki araştırmalarını açıkladı. Çalışmayı 2020'de geçirdi ve bu da beyaz bilgisayar korsanlarının yasadışı yasası uyarınca, güvenlik açıklarından sonra sonuçları yayınladı.
Natalie, sinyal, Facebook Messenger, Google Duo, Jiochat ve Mocha'daki video özelliklerinin mantığını analiz etti. Böyle bir adımda, sadece merakla değil, daha önce edinilmiş deneyimin de savunulmuştur. Gerçek şu ki, yaklaşık iki yıl önce Apple cihazlarındaki FaceTime fonksiyonunda uzun bir güvenlik açığı bulundu: mağdurun bilgisi olmadan, saldırgan telefon kameradan bir resim çekebilir.
Ayrıca, bir uygulamayı hacklemede değil, video bağlantısının kendisinin çalışmasının yanlış mantığını kullanmak için. Bağlantıyı onaylayan paketlerin değiş tokuşuyla, başlatılması bağlantısı resmi hedef kullanıcıya aktarma izninin yerini alabilir. Ve sorun, fedakarlık tarafında, program bu manipülasyonun meşru olduğunu, kullanıcı eylemleri olmadan bile düşünülecektir.
Evet, bu şemanın sınırlamaları var. İlk önce, bir arama başlatmanız ve belirli bir şekilde yapmanız gerekir. Yani, kurban her zaman cevap verebilecek. İkincisi, sonuç olarak elde edilen verilerin kısmı çok sınırlı olacaktır. Resim ön kameradan sabitlenir - ve saldırganın bulunduğu yere bakmanın bir gerçek değil. Ek olarak, fedakarlık aramayı görecek ve ya da onu düşürür. Başka bir deyişle, yalnızca akıllı telefonun elindeki akıllı telefonun ranns olduğunda emin olmak için gizlice mümkündür.
Ancak durum hala nahoşdur ve bazen bu tür bilgiler olabilir. Natalie, yukarıdaki tüm uygulamalarda benzer güvenlik açıkları buldu. Çalışma mekanizmaları, elçisinden haberci için farklıydı, ancak temelde bir düzen aynı kaldı. Telgraf ve Viber sevenler için iyi haberler: Bu tür bir kusurdan çok mahrumdur, video aramalarıyla her şey sırayla. En azından şu ana kadar tanımlanmadı.
Google Duo'da, güvenlik açığı geçen yıl Aralık ayında kapatıldı, Facebook Messenger'da - Kasım ayında, Jiochat ve Mocha yaz aylarında güncellendi. Ancak sonuçta, sinyal de benzer bir hata düzeltti, Eylül 2019'da geri döndü, ancak bu haberci ve ilk kişiyi araştırdı. Böylece, siber güvenlik uzmanları bir kez daha yüklü uygulamaların düzenli güncellemelerine duyulan ihtiyacı hatırlattı. Ciddi bir problemi bilemezsiniz, ancak geliştiriciler zaten düzeltmişlerdir.
Silvanovich ayrı ayrı, iki kullanıcı arasındaki video aramalarının işlevini analiz ettiğini belirtir. Yani, sadece bağlantının "aboneler" arasında doğrudan kurulduğu durumdur. Raporunda, bir sonraki çalışma aşamasını, popüler habercilerde grup video konferansını açıkladı.
Kaynak: Çıplak Bilim