Обнаружен следователь службы безопасности ошибки в популярных, мобильных приложений видеоконференцсвязь и чат что позволило злоумышленники слышат звуки и принимают данные до того, как человек на другом конце получит звонки. Ошибки обнаружил исследователь команды Google Project Zero, Натали Сильванович и теперь были исправлены. Приложения, которые были уязвимы для ошибок, были: Сигнал, Google Duo, Посланник facebook, JioChat и Mocha.
Уязвимости заставили целевых техника передавать аудио и видео злоумышленникам без необходимости выполнять код.
Я исследовал механизмы вызова семи приложений для видеоконференцсвязи и обнаружил пять уязвимостей, которые позволяют устройству звонящего заставить устройство звонящего передавать аудио- или видеоданные.", - пояснил Сильванович.
По мнению исследователя, даже если передача данные (от человека, принимающего звонок, к вызывающему), неизбежно, по крайней мере, человек должен сначала ответить на звонок.
Однако когда я посмотрел на них приложений, Я видел, что они разрешали передачу разными способами. У большинства из них были уязвимости, которые позволяли соединение вызовов без взаимодействия с человеком, принимающим вызов».
Исследователь сообщил об одном ошибка в сигнале исправлено в сентябре 2019 г.
Соответственно, один Ошибка Google Duo вызывала утечку видео вызывающим абонентам через неотвеченные вызовы. Эта ошибка была исправлена в декабре 2020 года. В ноябре 2020 года исправлена одна. уязвимость в Facebook Messenger который позволял подключать голосовые вызовы до того, как человек ответил на вызов.
Наконец, две похожие уязвимости были обнаружены в JioChat и Кофе мокко мессенджеры в июле 2020 года, что позволило отправка данных без его согласия пользователь. Ошибка в JioChat была исправлена в июле 2020 года, а в Mocha - в августе 2020 года.
Сильванович искал похожие проблемы в других приложений телеконференции, такие как Telegram и Viber, но ничего не нашел.
Большинство исследованных мной приложений для видеоконференцсвязи имели уязвимости, которые позволяли передавать аудио- или видеоконтент от человека, принимающего вызов, к вызывающему абоненту без согласия первого.", - добавил Сильванович.
Также важно отметить, что Возможности группового набора этих приложений не рассматривал и все уязвимости сообщил, обнаружен в одноранговых вызовах. Это область для будущей работы, которая может выявить дополнительные проблемы.».
Источник: Bleeping Computer
Greek
Chinese (Simplified)
English
Greek
Russian