Пятница, 26 февраля, 22:54
дома безопасность Ошибки в Messenger, Signal, Google Duo позволяли шпионить

Ошибки в Messenger, Signal, Google Duo позволяли шпионить

Обнаружен следователь службы безопасности ошибки в популярных, мобильных приложений видеоконференцсвязь и чат что позволило злоумышленники слышат звуки и принимают данные до того, как человек на другом конце получит звонки. Ошибки обнаружил исследователь команды Google Project Zero, Натали Сильванович и теперь были исправлены. Приложения, которые были уязвимы для ошибок, были: Сигнал, Google Duo, Посланник facebook, JioChat и Mocha.

Google Duo

Уязвимости заставили целевых техника передавать аудио и видео злоумышленникам без необходимости выполнять код.

Я исследовал механизмы вызова семи приложений для видеоконференцсвязи и обнаружил пять уязвимостей, которые позволяют устройству звонящего заставить устройство звонящего передавать аудио- или видеоданные.", - пояснил Сильванович.

По мнению исследователя, даже если передача данные (от человека, принимающего звонок, к вызывающему), неизбежно, по крайней мере, человек должен сначала ответить на звонок.

Однако когда я посмотрел на них приложений, Я видел, что они разрешали передачу разными способами. У большинства из них были уязвимости, которые позволяли соединение вызовов без взаимодействия с человеком, принимающим вызов».

сигнал

Исследователь сообщил об одном ошибка в сигнале исправлено в сентябре 2019 г.

Мессенджере

Соответственно, один Ошибка Google Duo вызывала утечку видео вызывающим абонентам через неотвеченные вызовы. Эта ошибка была исправлена ​​в декабре 2020 года. В ноябре 2020 года исправлена ​​одна. уязвимость в Facebook Messenger который позволял подключать голосовые вызовы до того, как человек ответил на вызов.

Наконец, две похожие уязвимости были обнаружены в JioChat и Кофе мокко мессенджеры в июле 2020 года, что позволило отправка данных без его согласия пользователь. Ошибка в JioChat была исправлена ​​в июле 2020 года, а в Mocha - в августе 2020 года.

Сильванович искал похожие проблемы в других приложений телеконференции, такие как Telegram и Viber, но ничего не нашел.

Большинство исследованных мной приложений для видеоконференцсвязи имели уязвимости, которые позволяли передавать аудио- или видеоконтент от человека, принимающего вызов, к вызывающему абоненту без согласия первого.", - добавил Сильванович.

Также важно отметить, что Возможности группового набора этих приложений не рассматривал и все уязвимости сообщил, обнаружен в одноранговых вызовах. Это область для будущей работы, которая может выявить дополнительные проблемы.».

Источник: Bleeping Computer

ОСТАВИТЬ ОТВЕТ

Пожалуйста, введите ваш комментарий!
Пожалуйста, введите ваше имя здесь

Цифровая Крепость
Цифровая Крепостьhttps://www.secnews.gr
Осуществляйте свои мечты и живите!

ЖИВЫЕ НОВОСТИ

Лос-Анджелес: летающие машины в городском небе к 2024 году

Летающие машины теперь на шаг ближе к тому, чтобы стать реальностью, поскольку один из крупнейших игроков в этой области заявил о себе ...

Как скрыть панель вкладок в Safari для iPad (или сбросить ее)

По умолчанию Safari для iPad отображает панель инструментов, полную вкладок браузера, если у вас открыто несколько вкладок. Если вы предпочитаете ...

Билл Гейтс говорит, что предпочитает смартфоны Android айфонам

Соучредитель Microsoft Билл Гейтс на этой неделе принял участие в своей первой встрече с компанией Clubhouse, которая ...

Киберпреступники предлагают правительствам услуги взлома

Хакерские группы, участвующие в различных киберпреступлениях, теперь настолько специализированы, что правительства штатов используют их в своих целях ...

Intel исправляет ошибки в драйверах Wi-Fi и Wireless Bluetooth

Intel столкнулась с проблемами с драйверами Wi-Fi и Wireless Bluetooth, вызывающими ошибки BSOD в устройствах Windows 10 и Bluetooth ...
00: 03: 10

Hyundai: отзыв 82.000 электромобилей станет одним из самых дорогих в истории

https://www.youtube.com/watch?v=TJxiFe0HESw Η Hyundai θα ανακαλέσει 82.000 ηλεκτρικά αυτοκίνητα για να αντικαταστήσει τις μπαταρίες τους, καθώς έγιναν 15...
00: 02: 35

Star Wars: Republic Commando выйдет на PS4 и Nintendo Switch

https://www.youtube.com/watch?v=b1whMXAa8p8 Ήταν το 1977 όταν ο George Lucas μας έβαλε στον φανταστικό κόσμο του Star Wars, μέσω...

Npower: отключает мобильное приложение после атак с заполнением учетных данных

Одна из крупнейших энергетических компаний Соединенного Королевства, Npower, была вынуждена деактивировать свое мобильное приложение, когда узнала о ...
00: 10: 11

Виртуальная реальность (VR): что это такое и как она меняет нашу жизнь?

Мы часто слышим термин «виртуальная реальность» (VR) в игровых инновациях. Однако эта технология не ограничивается ...

Гигантская компания Sequoia Capital обнаружила утечку данных

Американская компания VC Sequoia Capital сообщила, что подверглась атаке хакера. С момента своего основания в 1972 году компания венчурного капитала ...