Trong blog trên trang web của nhóm của Google Project Zero, Natalie Silvanovich (Natalie Silvanovich) đã mô tả nghiên cứu về sự an toàn của các ứng dụng phổ biến để liên lạc. Cô đã dành công việc vào năm 2020 và theo quy tắc bất hợp pháp của cái gọi là tin tặc trắng, kết quả được công bố sau khi các lỗ hổng đã bị loại bỏ.
Natalie đã phân tích logic của các tính năng video trong tín hiệu, Facebook Messenger, Google Duo, Jiochat và Mocha. Ở một bước như vậy, nó đã được ủng hộ không chỉ sự tò mò mà còn cả trải nghiệm đã có được trước đó. Thực tế là khoảng hai năm trước trong chức năng FaceTime trên các thiết bị của Apple đã tìm thấy một lỗ hổng lâu dài: không có kiến thức về nạn nhân, kẻ tấn công có thể chụp ảnh từ camera điện thoại.
Hơn nữa, nó không phải là trong việc hack một ứng dụng, mà để sử dụng logic không chính xác của công việc của liên kết video. Khi trao đổi các gói xác nhận kết nối, kết nối khởi tạo có thể thay thế quyền để chuyển hình từ người dùng đích. Và vấn đề là về phía hy sinh, chương trình sẽ xem xét điều này hợp pháp, ngay cả khi không có hành động của người dùng.
Có, chương trình này có những hạn chế. Đầu tiên, bạn cần bắt đầu một cuộc gọi và làm điều đó theo một cách nhất định. Đó là, nạn nhân sẽ luôn có thể đáp ứng. Thứ hai, phần dữ liệu thu được là do đó sẽ rất hạn chế. Hình ảnh được cố định từ camera trước - và đó không phải là một thực tế là nó trông là nơi bạn cần một kẻ tấn công. Ngoài ra, sự hy sinh sẽ thấy cuộc gọi và lấy nó hoặc bỏ nó. Nói cách khác, có thể chắc chắn có thể chắc chắn rằng chỉ có điện thoại thông minh trong tay của điện thoại thông minh khi anh ta ranns.
Nhưng tình hình vẫn còn khó chịu, và đôi khi có thể có đủ thông tin như vậy. Natalie tìm thấy các lỗ hổng tương tự trong tất cả các ứng dụng trên. Cơ chế làm việc của họ khác với Messenger đến Messenger, nhưng một chương trình cơ bản vẫn giữ nguyên. Tin tốt cho những người yêu thích Telegram và Viber: Họ bị tước bỏ những sai sót như vậy, với video của họ gọi mọi thứ là theo thứ tự. Ít nhất, cho đến nay đã không được xác định.
Trong Google Duo, lỗ hổng đã bị đóng cửa vào tháng 12 năm ngoái, tại Facebook Messenger - vào tháng 11, Jiochat và Mocha đã được cập nhật vào mùa hè. Nhưng trước tất cả, tín hiệu đã sửa chữa một sai lầm tương tự, trở lại vào tháng 9 năm 2019, nhưng sứ giả này và điều tra lần đầu tiên. Do đó, các chuyên gia an ninh mạng một lần nữa nhắc nhở nhu cầu cập nhật thông thường của các ứng dụng đã cài đặt. Bạn không thể biết về một vấn đề nghiêm trọng, nhưng các nhà phát triển đã sửa nó.
Silvanovich lưu ý riêng rằng cô chỉ phân tích chức năng của các cuộc gọi video giữa hai người dùng. Đó là, chỉ có trường hợp kết nối được thiết lập trực tiếp giữa các thuê bao ". Trong báo cáo của mình, cô đã công bố giai đoạn tiếp theo của công việc - hội nghị video nhóm trong các sứ giả phổ biến.
Nguồn: Khoa học khỏa thân