在Google Project Zero Team網站上的博客中,Natalie Silvanovich(Natalie Silvanovich)描述了對溝通普遍應用的安全性的研究。她在2020年工作了工作,並按照所謂的白色黑客的非法準則,消除了漏洞後出版的結果。
Natalie分析了信號,Facebook Messenger,Google Duo,Jiochat和Mocha的視頻功能的邏輯。在這樣的步驟中,不僅提出了好奇心,而且是先前獲得的經驗。事實是,大約兩年前在蘋果設備上的FaceTime功能中發現了一個長期漏洞:沒有受害者的知識,攻擊者可以從手機相機捕獲一張圖片。
此外,它不在黑客攻擊應用程序中,而是使用視頻鏈路本身的工作的不正確邏輯。在確認連接的包交換時,啟動連接可以替換從目標用戶傳輸圖片的權限。問題是,在犧牲方面,該程序將考慮這種操縱合法,即使沒有用戶的行為也是如此。
是的,這個計劃有局限性。首先,您需要啟動調用並以某種方式執行此操作。也就是說,受害者將永遠能夠回應。其次,作為結果獲得的數據的部分將非常有限。圖片是從前置攝像頭固定的 - 這不是一個事實,它看起來你需要攻擊者。此外,犧牲將看到呼叫,也可以拿走或掉落它。換句話說,當他ranns時,它暗中可以只能確保智能手機手中的智能手機。
但情況仍然是不愉快的,有時可能有足夠的這些信息。 Natalie在所有上述應用程序中發現了類似的漏洞。他們的工作機制與信使對信使不同,但基本方案仍然相同。電報和Viber愛人的好消息:他們被剝奪了這種缺陷,他們的視頻呼叫一切都是為了。至少,到目前為止尚未確定。
在Google Duo中,該漏洞於去年12月關閉,在Facebook Messenger - 11月,Jiochat和Mocha在夏季更新。但是,在所有人之前,信號糾正了一個類似的錯誤,在2019年9月回來,但這個使者並調查了第一。因此,網絡安全專家再次提醒需要定期更新已安裝的應用程序。你無法了解一個嚴重的問題,但開發人員已經糾正了它。
Silvanovich單獨注意到她只分析了兩個用戶之間的視頻呼叫的功能。也就是說,只有這樣的情況,即可直接在“訂閱者”之間建立連接。在他的報告中,她宣布了下一階段的工作 - 流行的信使中的視頻會議。
來源:裸體科學