在Google Project Zero Team网站上的博客中,Natalie Silvanovich(Natalie Silvanovich)描述了对沟通普遍应用的安全性的研究。她在2020年工作了工作,并按照所谓的白色黑客的非法准则,消除了漏洞后出版的结果。
Natalie分析了信号,Facebook Messenger,Google Duo,Jiochat和Mocha的视频功能的逻辑。在这样的步骤中,不仅提出了好奇心,而且是先前获得的经验。事实是,大约两年前在苹果设备上的FaceTime功能中发现了一个长期漏洞:没有受害者的知识,攻击者可以从手机相机捕获一张图片。
此外,它不在黑客攻击应用程序中,而是使用视频链路本身的工作的不正确逻辑。在确认连接的包交换时,启动连接可以替换从目标用户传输图片的权限。问题是,在牺牲方面,该程序将考虑这种操纵合法,即使没有用户的行为也是如此。
是的,这个计划有局限性。首先,您需要启动调用并以某种方式执行此操作。也就是说,受害者将永远能够回应。其次,作为结果获得的数据的部分将非常有限。图片是从前置摄像头固定的 - 这不是一个事实,它看起来你需要攻击者。此外,牺牲将看到呼叫,也可以拿走或掉落它。换句话说,当他ranns时,它暗中可以只能确保智能手机手中的智能手机。
但情况仍然是不愉快的,有时可能有足够的这些信息。 Natalie在所有上述应用程序中发现了类似的漏洞。他们的工作机制与信使对信使不同,但基本方案仍然相同。电报和Viber爱人的好消息:他们被剥夺了这种缺陷,他们的视频呼叫一切都是为了。至少,到目前为止尚未确定。
在Google Duo中,该漏洞于去年12月关闭,在Facebook Messenger - 11月,Jiochat和Mocha在夏季更新。但是,在所有人之前,信号纠正了一个类似的错误,在2019年9月回来,但这个使者并调查了第一。因此,网络安全专家再次提醒需要定期更新已安装的应用程序。你无法了解一个严重的问题,但开发人员已经纠正了它。
Silvanovich单独注意到她只分析了两个用户之间的视频呼叫的功能。也就是说,只有这样的情况,即可直接在“订阅者”之间建立连接。在他的报告中,她宣布了下一阶段的工作 - 流行的信使中的视频会议。
来源:裸体科学