Уведомления
Авторизуйтесь или зарегистрируйтесь, чтобы оценивать материалы, создавать записи и писать комментарии.
Авторизуясь, вы соглашаетесь с правилами пользования сайтом и даете согласие на обработку персональных данных.
Уязвимости в мессенджерах Signal, Facebook и Google позволяли видеть собеседника, даже если он не разрешил звонок
Специалист по кибербезопасности из Google Project Zero Натали Сильванович отчиталась, что ряд сервисов по обмену сообщениями устранили обнаруженные ею уязвимости. В прошлом году она приватно уведомила разработчиков некоторых мессенджеров, включая Signal, Facebook Messenger и Google Duo, о том, что логика работы этих приложений позволяет злоумышленнику шпионить за жертвой.
В блоге на сайте команды Google Project Zero Натали Сильванович (Natalie Silvanovich) описала свое исследование безопасности популярных приложений для общения. Работу она провела в 2020 году и, в соответствии с негласным кодексом так называемых белых хакеров, опубликовала результаты после того, как уязвимости устранили.
Натали проанализировала логику работы функций видеосвязи в приложениях Signal, Facebook Messenger, Google Duo, JioChat и Mocha. На такой шаг ее сподвигло не только любопытство, но и ранее приобретенный опыт. Дело в том, что около двух лет назад в функции FaceTime на устройствах Apple обнаружили пренеприятную уязвимость: без ведома жертвы злоумышленник мог захватить картинку с камеры телефона.
Причем дело не во взломе приложения, а в использовании некорректной логики работы самой подсистемы видеосвязи. На уровне обмена пакетами с подтверждением связи инициирующая соединение сторона может подменить разрешение на передачу картинки от целевого пользователя. И проблема в том, что на стороне жертвы программа эту манипуляцию посчитает легитимной, даже без действий пользователя.
Да, у такой схемы есть ограничения. Во-первых, необходимо инициировать звонок и сделать это определенным образом. То есть жертва всегда будет иметь возможность отреагировать. Во-вторых, порция полученных в результате такого шпионажа данных будет весьма ограничена. Картинка-то фиксируется с фронтальной камеры — и не факт, что она смотрит куда нужно злоумышленнику. К тому же жертва увидит звонок и либо примет его, либо сбросит. Иными словами, скрытно можно удостовериться только в том, кто возьмет смартфон в руки, когда тот зазвонит.
Но ситуация все равно неприятная, да и таких сведений иногда может быть достаточно. Натали нашла подобные уязвимости во всех вышеописанных приложениях. Их механизм работы различался от мессенджера к мессенджеру, но принципиально схема оставалась той же. Хорошая новость для любителей Telegram и Viber: они такого изъяна лишены, с их видеозвонками все в порядке. По крайней мере, пока проблем не выявлено.
В Google Duo уязвимость закрыли в декабре прошлого года, в Facebook Messenger — в ноябре, JioChat и Mocha обновились еще летом. А вот раньше всех аналогичную ошибку исправил Signal, еще в сентябре 2019 года, но этот мессенджер и исследовали первым. Таким образом, специалисты по кибербезопасности лишний раз напомнили о необходимости регулярных обновлений установленных приложений. Можно не знать о серьезной проблеме, но разработчики уже ее исправили.
Сильванович отдельно отмечает, что она проанализировала только функцию видеозвонков между двумя пользователями. То есть лишь тот случай, в котором соединение устанавливается между «абонентами» напрямую. В своем отчете она анонсировала следующий этап работы — групповые видеоконференции в популярных мессенджерах.
На юге Ирака идут раскопки Лагаша — одного из самых ранних крупных городов мира. Исследователи уже обнаружили городские кварталы и выделили отдельные общественные здания, в том числе древнешумерское кафе.
Правильная интерпретация взаимодействий между кошками — важная составляющая благополучия проживающих в семьях животных. Однако многие владельцы все время сталкиваются с проблемой: как отличить игру питомцев от агонистического поведения?
Каждый рыбак в Северной Америке мечтает поймать гигантскую щуку, но мало кому это удается. И ученые выяснили: все дело в размере и характере животного.
Игру 2013 года и выходящий с января 2023 года сериал по ней часто принимают за научную фантастику. То есть произведение, основанное на предположениях, не противоречащих науке. Однако вряд ли дело обстоит таким образом. Проблема в том, что создатели мира The Last of Us слишком некритично подошли как к научному фундаменту, на котором основан их мир постапокалипсиса, так и к тому, что думает наука о самой реальности «постапов». Naked Science пробует разобраться в деталях.
Антропологи раскопали остатки центра массового изготовления обсидиановых рубил, где древние мастера Homo работали еще больше миллиона лет назад.
Сегодня популяции многих видов пчел в упадке, и британские исследователи предложили еще один способ спасти этих насекомых: превратить часть кирпичей в стенах домов в «мини-ульи».
Исследователи, изучающие систему обороны Великой стены, обнаружили следы более 130 секретных сквозных проходов и полагают, что это только начало.
Пока фанаты SpaceX увлеченно следят за достижениями компании, астрономы грустно наблюдают, как их работа становится сложнее с каждым запуском спутников Starlink. Прогресс не проходит без жертв. Поэтому различные научные ассоциации ищут способы снизить негативное влияние множества новых рукотворных объектов в околоземном пространстве на качество данных, получаемых телескопами. Некоторые решения со стороны выглядят экстремальными — например, теперь лазеры для корректировки адаптивной оптики можно не выключать, если в поле зрения есть спутник Starlink. А это десятки ватт излучения!
Биологи показали, что нейронные сети гиппокампа, ответственные за пространственное восприятие, изменяются не линейным образом, а в соответствии с гиперболической геометрией. То есть мозг представляет пространство в форме расширяющихся песочных часов. Результаты исследования могут иметь значение для лучшего понимания различных нейродегенеративных расстройств.
Вы попытались написать запрещенную фразу или вас забанили за частые нарушения.
ПонятноИз-за нарушений правил сайта на ваш аккаунт были наложены ограничения. Если это ошибка, напишите нам.
ПонятноНаши фильтры обнаружили в ваших действиях признаки накрутки. Отдохните немного и вернитесь к нам позже.
ПонятноМы скоро изучим заявку и свяжемся с Вами по указанной почте в случае положительного исхода. Спасибо за интерес к проекту.
ПонятноМы скоро прочитаем его и свяжемся с Вами по указанной почте. Спасибо за интерес к проекту.
Понятно
Комментарии