Уязвимости в мессенджерах Signal, Facebook и Google позволяли видеть собеседника, даже если он не разрешил звонок — Naked Science
7 минут
Василий Парфенов
7

Уязвимости в мессенджерах Signal, Facebook и Google позволяли видеть собеседника, даже если он не разрешил звонок

4.2

Специалист по кибербезопасности из Google Project Zero Натали Сильванович отчиталась, что ряд сервисов по обмену сообщениями устранили обнаруженные ею уязвимости. В прошлом году она приватно уведомила разработчиков некоторых мессенджеров, включая Signal, Facebook Messenger и Google Duo, о том, что логика работы этих приложений позволяет злоумышленнику шпионить за жертвой.

Уязвимости в мессенджерах Signal, Facebook и Google позволяли видеть собеседника, даже если он не разрешил звонок
Фрагмент картины «Родина слышит!» /©Вася Ложкин

В блоге на сайте команды Google Project Zero Натали Сильванович (Natalie Silvanovich) описала свое исследование безопасности популярных приложений для общения. Работу она провела в 2020 году и, в соответствии с негласным кодексом так называемых белых хакеров, опубликовала результаты после того, как уязвимости устранили.

Натали проанализировала логику работы функций видеосвязи в приложениях Signal, Facebook Messenger, Google Duo, JioChat и Mocha. На такой шаг ее сподвигло не только любопытство, но и ранее приобретенный опыт. Дело в том, что около двух лет назад в функции FaceTime на устройствах Apple обнаружили пренеприятную уязвимость: без ведома жертвы злоумышленник мог захватить картинку с камеры телефона.

Причем дело не во взломе приложения, а в использовании некорректной логики работы самой подсистемы видеосвязи. На уровне обмена пакетами с подтверждением связи инициирующая соединение сторона может подменить разрешение на передачу картинки от целевого пользователя. И проблема в том, что на стороне жертвы программа эту манипуляцию посчитает легитимной, даже без действий пользователя.

Да, у такой схемы есть ограничения. Во-первых, необходимо инициировать звонок и сделать это определенным образом. То есть жертва всегда будет иметь возможность отреагировать. Во-вторых, порция полученных в результате такого шпионажа данных будет весьма ограничена. Картинка-то фиксируется с фронтальной камеры — и не факт, что она смотрит куда нужно злоумышленнику. К тому же жертва увидит звонок и либо примет его, либо сбросит. Иными словами, скрытно можно удостовериться только в том, кто возьмет смартфон в руки, когда тот зазвонит.

Но ситуация все равно неприятная, да и таких сведений иногда может быть достаточно. Натали нашла подобные уязвимости во всех вышеописанных приложениях. Их механизм работы различался от мессенджера к мессенджеру, но принципиально схема оставалась той же. Хорошая новость для любителей Telegram и Viber: они такого изъяна лишены, с их видеозвонками все в порядке. По крайней мере, пока проблем не выявлено.

В Google Duo уязвимость закрыли в декабре прошлого года, в Facebook Messenger — в ноябре, JioChat и Mocha обновились еще летом. А вот раньше всех аналогичную ошибку исправил Signal, еще в сентябре 2019 года, но этот мессенджер и исследовали первым. Таким образом, специалисты по кибербезопасности лишний раз напомнили о необходимости регулярных обновлений установленных приложений. Можно не знать о серьезной проблеме, но разработчики уже ее исправили.

Сильванович отдельно отмечает, что она проанализировала только функцию видеозвонков между двумя пользователями. То есть лишь тот случай, в котором соединение устанавливается между «абонентами» напрямую. В своем отчете она анонсировала следующий этап работы — групповые видеоконференции в популярных мессенджерах.

Нашли опечатку? Выделите фрагмент и нажмите Ctrl + Enter.
8 часов назад
39 минут
Александр Березин

В июне 2020 года канадские астрономы рассчитали, что в Млечном Пути может быть пять миллиардов планет, похожих на Землю и вращающихся вокруг звезд, похожих на Солнце. Однако это лишь видимая часть айсберга обитаемых планет. Дело не только в том, что вокруг звезд других типов их больше: и сами условия на экзопланетах в других системах могут быть куда благоприятнее для жизни, чем у нас с вами. Попробуем понять почему.

11 часов назад
2 минуты
Sergei Sobol

Обращаете внимание, какой творческий подход проявляют дизайнеры при создании электрических мотоциклов? Каждый из них уникален своими особенностями, и наш сегодняшний фаворит – концептуальный электрический байк BMW Motorrad – не исключение. Он создан дизайнером из Валенсии Яго Валино (Iago Valino), вдохновившимся кастомными мотоциклами мастерской El Solitario. А эстетика байка навеяна культовыми мотоциклами Ural, в которые советские инженеры добавили собственный взгляд на традиции BMW.

Позавчера, 12:00
2 минуты
Илья Ведмеденко

Как следует из обнародованных материалов, дальность действия перспективной американской системы гиперзвукового оружия Long Range Hypersonic Weapon превышает 2775 километров.

8 часов назад
39 минут
Александр Березин

В июне 2020 года канадские астрономы рассчитали, что в Млечном Пути может быть пять миллиардов планет, похожих на Землю и вращающихся вокруг звезд, похожих на Солнце. Однако это лишь видимая часть айсберга обитаемых планет. Дело не только в том, что вокруг звезд других типов их больше: и сами условия на экзопланетах в других системах могут быть куда благоприятнее для жизни, чем у нас с вами. Попробуем понять почему.

11 часов назад
2 минуты
Sergei Sobol

Обращаете внимание, какой творческий подход проявляют дизайнеры при создании электрических мотоциклов? Каждый из них уникален своими особенностями, и наш сегодняшний фаворит – концептуальный электрический байк BMW Motorrad – не исключение. Он создан дизайнером из Валенсии Яго Валино (Iago Valino), вдохновившимся кастомными мотоциклами мастерской El Solitario. А эстетика байка навеяна культовыми мотоциклами Ural, в которые советские инженеры добавили собственный взгляд на традиции BMW.

Позавчера, 12:00
2 минуты
Илья Ведмеденко

Как следует из обнародованных материалов, дальность действия перспективной американской системы гиперзвукового оружия Long Range Hypersonic Weapon превышает 2775 километров.

23 апреля
11 минут
Василий Парфенов

Действующий глава NASA в рамках общения с прессой ответил на ряд вопросов, касающихся недавних заявлений российских политиков и главы «Роскосмоса» о скором отказе от собственного сегмента МКС. Администратор заверил всех, что агентство находится в хороших отношениях с Россией, а также поделился информацией о согласовании обмена местами для астронавтов и космонавтов в пилотируемых миссиях двух стран.

25 апреля
17 минут
Александр Березин

На этой неделе СМИ выдали новость, от которой можно впасть в шок: «Ранее из России уезжало около 14 тысяч исследователей [в год], теперь — 70 тысяч». Мы внимательно разобрались в ситуации и вынуждены отметить, что ничего подобного не было и нет. В реальности речь вовсе не об ученых и даже не о высококвалифицированных специалистах. Проблемы с учеными в России есть. Но в этом случае речь идет не о них, а о том, что отдельные бывшие комсомольские вожаки, удачно устроившиеся в РАН, перепутали утечку мозгов из России с отъездом из нее гастарбайтеров. Разбираемся, как это у них получилось.

24 апреля
9 минут
Мария Азарова

Американские ученые показали обратную связь всех конечных точек смертности с содержанием омега-3-полиненасыщенных жирных кислот. Согласно их выводам, более высокие уровни некоторых основных ПНЖК в тканях и крови могут снижать вероятность смерти от всех причин в среднем на 13% и в итоге замедлять процесс старения.

[miniorange_social_login]

Комментарии

7 Комментариев

-
0
+
Этот зоопарк примерно одинаково косячных и кривых мессенджеров когда-нибудь канет в Лету, как страшный сон. В 5G есть одно новшество, крайне нужное всем, в отличие от всякого прочего хлама, нужного только роботам. Так вот, в 5G функции мессенджера будут встроены прямо в протокол, как сейчас СМС встроены в GSM, так что никакого отдельного приложения для отправки СМС скачивать не надо... Соответственно, никаких меряний ничем проводить не нужно будет. Как будто у нас других дел нету, блин...
-
0
+
Дякую тобі, Боже, що у мене телеграм... Ой, стоп. В телеграме же нет видеосвязи )
Подтвердить?
Лучшие материалы
Войти
Регистрируясь, вы соглашаетесь с правилами использования сайта и даете согласие на обработку персональных данных.

Сообщить об опечатке

Текст, который будет отправлен нашим редакторам: