• Добавить в закладки
  • Facebook
  • Twitter
  • Telegram
  • VK
  • Печать
  • Email
  • Скопировать ссылку
21.01.2021
Василий Парфенов
7
3 703

Уязвимости в мессенджерах Signal, Facebook и Google позволяли видеть собеседника, даже если он не разрешил звонок

4.2

Специалист по кибербезопасности из Google Project Zero Натали Сильванович отчиталась, что ряд сервисов по обмену сообщениями устранили обнаруженные ею уязвимости. В прошлом году она приватно уведомила разработчиков некоторых мессенджеров, включая Signal, Facebook Messenger и Google Duo, о том, что логика работы этих приложений позволяет злоумышленнику шпионить за жертвой.

Уязвимости в мессенджерах Signal, Facebook и Google позволяли видеть собеседника, даже если он не разрешил звонок
Фрагмент картины «Родина слышит!» /©Вася Ложкин / Автор: Татьяна Соловьёва

В блоге на сайте команды Google Project Zero Натали Сильванович (Natalie Silvanovich) описала свое исследование безопасности популярных приложений для общения. Работу она провела в 2020 году и, в соответствии с негласным кодексом так называемых белых хакеров, опубликовала результаты после того, как уязвимости устранили.

Натали проанализировала логику работы функций видеосвязи в приложениях Signal, Facebook Messenger, Google Duo, JioChat и Mocha. На такой шаг ее сподвигло не только любопытство, но и ранее приобретенный опыт. Дело в том, что около двух лет назад в функции FaceTime на устройствах Apple обнаружили пренеприятную уязвимость: без ведома жертвы злоумышленник мог захватить картинку с камеры телефона.

Причем дело не во взломе приложения, а в использовании некорректной логики работы самой подсистемы видеосвязи. На уровне обмена пакетами с подтверждением связи инициирующая соединение сторона может подменить разрешение на передачу картинки от целевого пользователя. И проблема в том, что на стороне жертвы программа эту манипуляцию посчитает легитимной, даже без действий пользователя.

Да, у такой схемы есть ограничения. Во-первых, необходимо инициировать звонок и сделать это определенным образом. То есть жертва всегда будет иметь возможность отреагировать. Во-вторых, порция полученных в результате такого шпионажа данных будет весьма ограничена. Картинка-то фиксируется с фронтальной камеры — и не факт, что она смотрит куда нужно злоумышленнику. К тому же жертва увидит звонок и либо примет его, либо сбросит. Иными словами, скрытно можно удостовериться только в том, кто возьмет смартфон в руки, когда тот зазвонит.

Но ситуация все равно неприятная, да и таких сведений иногда может быть достаточно. Натали нашла подобные уязвимости во всех вышеописанных приложениях. Их механизм работы различался от мессенджера к мессенджеру, но принципиально схема оставалась той же. Хорошая новость для любителей Telegram и Viber: они такого изъяна лишены, с их видеозвонками все в порядке. По крайней мере, пока проблем не выявлено.

В Google Duo уязвимость закрыли в декабре прошлого года, в Facebook Messenger — в ноябре, JioChat и Mocha обновились еще летом. А вот раньше всех аналогичную ошибку исправил Signal, еще в сентябре 2019 года, но этот мессенджер и исследовали первым. Таким образом, специалисты по кибербезопасности лишний раз напомнили о необходимости регулярных обновлений установленных приложений. Можно не знать о серьезной проблеме, но разработчики уже ее исправили.

Сильванович отдельно отмечает, что она проанализировала только функцию видеозвонков между двумя пользователями. То есть лишь тот случай, в котором соединение устанавливается между «абонентами» напрямую. В своем отчете она анонсировала следующий этап работы — групповые видеоконференции в популярных мессенджерах.

Нашли опечатку? Выделите фрагмент и нажмите Ctrl + Enter.
Подписывайтесь на нас в Telegram, Яндекс.Новостях и VK
11 часов назад
Игорь Байдов

Существует несколько гипотез о том, как на самом деле древние египтяне строили свои пирамиды. Если о способах возведения монументальных сооружений и инструментах, которые использовали строители, более-менее известно, то о методах доставки блоков и их установки мнения разнятся. Команда французских архитекторов и египтологов изучила ландшафт вокруг самой древней из сохранившихся египетских пирамид — Джосера — и рассказала, как египтяне могли доставлять и поднимать камни для ее строительства.

24 июля
Дарья Г.

На сегодня удалось подтвердить существование тысяч экзопланет, но лишь около 25 из них получилось запечатлеть напрямую. Причем из них лишь шесть объектов старше 100 миллионов лет. И вот, наконец, ученые смогли сделать снимок взрослой экзопланеты.

Позавчера, 20:04
Юлия Трепалина

Современные млекопитающие небольшого размера вроде крыс и других грызунов быстро созревают, спариваются, чтобы оставить потомство, и довольно скоро умирают. Однако так было не всегда. Анализ окаменелых останков вымерших млекопитающих под названием Krusatodon kirtlingtonensis показал, что эти мышеподобные существа жили дольше и взрослели медленнее, чем близкие к ним современные потомки.

23 июля
НИУ ВШЭ

Международная команда исследователей с участием ученых из НИУ ВШЭ изучила, как люди, владеющие двумя языками (билингвы), ассоциируют время с пространством. Оказалось, что и в первом, и во втором языке они связывают прошлое с левой частью пространства, а будущее — с правой. При этом чем выше уровень владения вторым языком, тем сильнее выражена эта связь.

23 июля
Андрей

Человек множеством способов загрязняет природу вокруг себя, преимущественно воду. В Мировой океан попадают как отходы с производств, так и тонны пластикового мусора. Все это способно отравлять жизнь морских животных, особенно редких вроде акул. Одним из малоизученных токсичных источников можно назвать наркотики, в частности кокаин. Случайное употребление этого вещества акулами раньше только предполагали, но теперь бразильские биологи нашли прямые доказательства.

24 июля
Дарья Г.

На сегодня удалось подтвердить существование тысяч экзопланет, но лишь около 25 из них получилось запечатлеть напрямую. Причем из них лишь шесть объектов старше 100 миллионов лет. И вот, наконец, ученые смогли сделать снимок взрослой экзопланеты.

1 июля
Александр Березин

Необычный биологический вид, по оценке авторов новой научной работы, пригоден для заселения четвертой планеты без каких-либо предварительных условий — уже в том виде, в котором он существует сейчас. Поскольку речь идет о фотосинтетическом организме, он способен нарабатывать существенное количество кислорода. Интересно, что кандидат на терраформирование Марса сохранил жизнеспособность после месяца в жидком азоте.

12 июля
Александр Березин

Falcon 9 Block 5 впервые за три сотни запусков дал частично неудачный полет. Ракета выводила 20 спутников компании SpaceX, с 15 связь уже пропала, еще пять могут быть потеряны в ближайшее время.

15 июля
Александр Березин

Авторы нового исследования впервые показали, что круглые провалы в лунной поверхности не просто близки к многокилометровым пещерам на естественном спутнике Земли, но и располагают тоннелями, ведущими в глубину.

[miniorange_social_login]

Комментарии

7 Комментариев
-
0
+
Этот зоопарк примерно одинаково косячных и кривых мессенджеров когда-нибудь канет в Лету, как страшный сон. В 5G есть одно новшество, крайне нужное всем, в отличие от всякого прочего хлама, нужного только роботам. Так вот, в 5G функции мессенджера будут встроены прямо в протокол, как сейчас СМС встроены в GSM, так что никакого отдельного приложения для отправки СМС скачивать не надо... Соответственно, никаких меряний ничем проводить не нужно будет. Как будто у нас других дел нету, блин...
-
0
+
Дякую тобі, Боже, що у мене телеграм... Ой, стоп. В телеграме же нет видеосвязи )
Подтвердить?
Подтвердить?
Причина отклонения
Подтвердить?
Не получилось опубликовать!

Вы попытались написать запрещенную фразу или вас забанили за частые нарушения.

Понятно
Жалоба отправлена

Мы обязательно проверим комментарий и
при необходимости примем меры.

Спасибо
Аккаунт заблокирован!

Из-за нарушений правил сайта на ваш аккаунт были наложены ограничения. Если это ошибка, напишите нам.

Понятно
Что-то пошло не так!

Наши фильтры обнаружили в ваших действиях признаки накрутки. Отдохните немного и вернитесь к нам позже.

Понятно
Лучшие материалы
Войти
Регистрируясь, вы соглашаетесь с правилами использования сайта и даете согласие на обработку персональных данных.
Ваша заявка получена

Мы скоро изучим заявку и свяжемся с Вами по указанной почте в случае положительного исхода. Спасибо за интерес к проекту.

Понятно
Ваше сообщение получено

Мы скоро прочитаем его и свяжемся с Вами по указанной почте. Спасибо за интерес к проекту.

Понятно