• Добавить в закладки
  • Facebook
  • Twitter
  • Telegram
  • VK
  • Печать
  • Email
  • Скопировать ссылку
21.01.2021
Василий Парфенов
7
3 689

Уязвимости в мессенджерах Signal, Facebook и Google позволяли видеть собеседника, даже если он не разрешил звонок

4.2

Специалист по кибербезопасности из Google Project Zero Натали Сильванович отчиталась, что ряд сервисов по обмену сообщениями устранили обнаруженные ею уязвимости. В прошлом году она приватно уведомила разработчиков некоторых мессенджеров, включая Signal, Facebook Messenger и Google Duo, о том, что логика работы этих приложений позволяет злоумышленнику шпионить за жертвой.

Уязвимости в мессенджерах Signal, Facebook и Google позволяли видеть собеседника, даже если он не разрешил звонок
Фрагмент картины «Родина слышит!» /©Вася Ложкин / Автор: Татьяна Соловьёва

В блоге на сайте команды Google Project Zero Натали Сильванович (Natalie Silvanovich) описала свое исследование безопасности популярных приложений для общения. Работу она провела в 2020 году и, в соответствии с негласным кодексом так называемых белых хакеров, опубликовала результаты после того, как уязвимости устранили.

Натали проанализировала логику работы функций видеосвязи в приложениях Signal, Facebook Messenger, Google Duo, JioChat и Mocha. На такой шаг ее сподвигло не только любопытство, но и ранее приобретенный опыт. Дело в том, что около двух лет назад в функции FaceTime на устройствах Apple обнаружили пренеприятную уязвимость: без ведома жертвы злоумышленник мог захватить картинку с камеры телефона.

Причем дело не во взломе приложения, а в использовании некорректной логики работы самой подсистемы видеосвязи. На уровне обмена пакетами с подтверждением связи инициирующая соединение сторона может подменить разрешение на передачу картинки от целевого пользователя. И проблема в том, что на стороне жертвы программа эту манипуляцию посчитает легитимной, даже без действий пользователя.

Да, у такой схемы есть ограничения. Во-первых, необходимо инициировать звонок и сделать это определенным образом. То есть жертва всегда будет иметь возможность отреагировать. Во-вторых, порция полученных в результате такого шпионажа данных будет весьма ограничена. Картинка-то фиксируется с фронтальной камеры — и не факт, что она смотрит куда нужно злоумышленнику. К тому же жертва увидит звонок и либо примет его, либо сбросит. Иными словами, скрытно можно удостовериться только в том, кто возьмет смартфон в руки, когда тот зазвонит.

Но ситуация все равно неприятная, да и таких сведений иногда может быть достаточно. Натали нашла подобные уязвимости во всех вышеописанных приложениях. Их механизм работы различался от мессенджера к мессенджеру, но принципиально схема оставалась той же. Хорошая новость для любителей Telegram и Viber: они такого изъяна лишены, с их видеозвонками все в порядке. По крайней мере, пока проблем не выявлено.

В Google Duo уязвимость закрыли в декабре прошлого года, в Facebook Messenger — в ноябре, JioChat и Mocha обновились еще летом. А вот раньше всех аналогичную ошибку исправил Signal, еще в сентябре 2019 года, но этот мессенджер и исследовали первым. Таким образом, специалисты по кибербезопасности лишний раз напомнили о необходимости регулярных обновлений установленных приложений. Можно не знать о серьезной проблеме, но разработчики уже ее исправили.

Сильванович отдельно отмечает, что она проанализировала только функцию видеозвонков между двумя пользователями. То есть лишь тот случай, в котором соединение устанавливается между «абонентами» напрямую. В своем отчете она анонсировала следующий этап работы — групповые видеоконференции в популярных мессенджерах.

Нашли опечатку? Выделите фрагмент и нажмите Ctrl + Enter.
Подписывайтесь на нас в Telegram, Яндекс.Новостях и VK
Позавчера, 14:25
Дарья Г.

По оценкам ученых, «свободных» планет в Млечном Пути может быть в 20 раз больше, чем звезд. Так как планеты сами не светятся, разглядеть их сложно: их ищут гравилинзированием, лучше всего обнаруживающим самые массивные планеты типа Юпитера. Но вот удалось найти еще одну такую «сироту», причем не массивную с Юпитер, а земного размера. И ученые уверены, что это лишь первая находка из многих.

Позавчера, 13:05
Александр Березин

В норме чем больше становится видов в группе, тем острее они конкурируют между собой, что сначала замедляет возникновение новых видов, а затем ведет к вымиранию. Новая научная работа показала, что у рода Homo ситуация почему-то была обратной: чем больше видов он образовывал, тем быстрее возникали новые дополнительные. Среди позвоночных подобных примеров нет, только среди жуков на изолированных островах. Ученые выдвинули ряд гипотез, позволяющих объяснить столь удивительный результат.

Вчера, 16:49
Андрей

Международная группа геофизиков изучила облик внутреннего ядра Земли, чтобы выяснить, какой у него тип тепловой конвекции. В ходе исследования ученые обнаружили самые горячие и самые холодные точки в центре планеты.

Позавчера, 14:25
Дарья Г.

По оценкам ученых, «свободных» планет в Млечном Пути может быть в 20 раз больше, чем звезд. Так как планеты сами не светятся, разглядеть их сложно: их ищут гравилинзированием, лучше всего обнаруживающим самые массивные планеты типа Юпитера. Но вот удалось найти еще одну такую «сироту», причем не массивную с Юпитер, а земного размера. И ученые уверены, что это лишь первая находка из многих.

Позавчера, 13:05
Александр Березин

В норме чем больше становится видов в группе, тем острее они конкурируют между собой, что сначала замедляет возникновение новых видов, а затем ведет к вымиранию. Новая научная работа показала, что у рода Homo ситуация почему-то была обратной: чем больше видов он образовывал, тем быстрее возникали новые дополнительные. Среди позвоночных подобных примеров нет, только среди жуков на изолированных островах. Ученые выдвинули ряд гипотез, позволяющих объяснить столь удивительный результат.

18 апреля
Юлия Трепалина

Во время проживания в отелях туристы, как правило, расходуют ощутимо больше воды, чем у себя дома: из-за долгого плескания в душе разница может доходить до 250 литров в день. В новом исследовании ученые с помощью эксперимента показали, как побудить отдыхающих пользоваться водными ресурсами экономнее.

8 апреля
Василий Парфенов

Режим работы, количество трудовых часов в неделю и экономическую стабильность профессии прочно ассоциируют с благополучием человека. Количественно и качественно определить эти взаимосвязи получается редко — нужны большие выборки респондентов и длительное время наблюдений. Автор новой научной работы использовал долговременное исследование более чем семи тысяч американцев, чтобы выявить основные эффекты паттернов трудовой деятельности на психическое и физическое здоровье работающих людей.

28 марта
Игорь Байдов

Американская компания JetZero, которая обещает произвести фурор в гражданской авиации, получила сертификат летной годности на испытания уменьшенной копии разрабатываемого ею сверхэффективного реактивного авиалайнера со «смешанным крылом». Предстоящая программа летных испытаний будет направлена на оценку летно-технических характеристик самолета, его устойчивости и управляемости.

21 марта
Дарья Г.

По спектральным данным от «Джеймса Уэбба» и результатам компьютерного моделирования атмосферы астрономы показали, что экзопланета LHS 1140 b — мир-океан. Причем по характеристикам это лучший на сегодня потенциально обитаемый мир, подходящий для пристального изучения.

[miniorange_social_login]

Комментарии

7 Комментариев

-
0
+
Этот зоопарк примерно одинаково косячных и кривых мессенджеров когда-нибудь канет в Лету, как страшный сон. В 5G есть одно новшество, крайне нужное всем, в отличие от всякого прочего хлама, нужного только роботам. Так вот, в 5G функции мессенджера будут встроены прямо в протокол, как сейчас СМС встроены в GSM, так что никакого отдельного приложения для отправки СМС скачивать не надо... Соответственно, никаких меряний ничем проводить не нужно будет. Как будто у нас других дел нету, блин...
-
0
+
Дякую тобі, Боже, що у мене телеграм... Ой, стоп. В телеграме же нет видеосвязи )

Подтвердить?
Подтвердить?
Причина отклонения
Подтвердить?
Не получилось опубликовать!

Вы попытались написать запрещенную фразу или вас забанили за частые нарушения.

Понятно
Жалоба отправлена

Мы обязательно проверим комментарий и
при необходимости примем меры.

Спасибо
Аккаунт заблокирован!

Из-за нарушений правил сайта на ваш аккаунт были наложены ограничения. Если это ошибка, напишите нам.

Понятно
Что-то пошло не так!

Наши фильтры обнаружили в ваших действиях признаки накрутки. Отдохните немного и вернитесь к нам позже.

Понятно
Лучшие материалы
Войти
Регистрируясь, вы соглашаетесь с правилами использования сайта и даете согласие на обработку персональных данных.
Ваша заявка получена

Мы скоро изучим заявку и свяжемся с Вами по указанной почте в случае положительного исхода. Спасибо за интерес к проекту.

Понятно
Ваше сообщение получено

Мы скоро прочитаем его и свяжемся с Вами по указанной почте. Спасибо за интерес к проекту.

Понятно

Сообщить об опечатке

Текст, который будет отправлен нашим редакторам: