• Добавить в закладки
  • Facebook
  • Twitter
  • Telegram
  • VK
  • Печать
  • Email
  • Скопировать ссылку
21.01.2021, 15:02
Василий Парфенов
7
3,8 тыс

Уязвимости в мессенджерах Signal, Facebook и Google позволяли видеть собеседника, даже если он не разрешил звонок

❋ 4.2

Специалист по кибербезопасности из Google Project Zero Натали Сильванович отчиталась, что ряд сервисов по обмену сообщениями устранили обнаруженные ею уязвимости. В прошлом году она приватно уведомила разработчиков некоторых мессенджеров, включая Signal, Facebook Messenger и Google Duo, о том, что логика работы этих приложений позволяет злоумышленнику шпионить за жертвой.

Уязвимости в мессенджерах Signal, Facebook и Google позволяли видеть собеседника, даже если он не разрешил звонок
Фрагмент картины «Родина слышит!» /©Вася Ложкин / Автор: Татьяна Соловьёва

В блоге на сайте команды Google Project Zero Натали Сильванович (Natalie Silvanovich) описала свое исследование безопасности популярных приложений для общения. Работу она провела в 2020 году и, в соответствии с негласным кодексом так называемых белых хакеров, опубликовала результаты после того, как уязвимости устранили.

Натали проанализировала логику работы функций видеосвязи в приложениях Signal, Facebook Messenger, Google Duo, JioChat и Mocha. На такой шаг ее сподвигло не только любопытство, но и ранее приобретенный опыт. Дело в том, что около двух лет назад в функции FaceTime на устройствах Apple обнаружили пренеприятную уязвимость: без ведома жертвы злоумышленник мог захватить картинку с камеры телефона.

Причем дело не во взломе приложения, а в использовании некорректной логики работы самой подсистемы видеосвязи. На уровне обмена пакетами с подтверждением связи инициирующая соединение сторона может подменить разрешение на передачу картинки от целевого пользователя. И проблема в том, что на стороне жертвы программа эту манипуляцию посчитает легитимной, даже без действий пользователя.

Да, у такой схемы есть ограничения. Во-первых, необходимо инициировать звонок и сделать это определенным образом. То есть жертва всегда будет иметь возможность отреагировать. Во-вторых, порция полученных в результате такого шпионажа данных будет весьма ограничена. Картинка-то фиксируется с фронтальной камеры — и не факт, что она смотрит куда нужно злоумышленнику. К тому же жертва увидит звонок и либо примет его, либо сбросит. Иными словами, скрытно можно удостовериться только в том, кто возьмет смартфон в руки, когда тот зазвонит.

Но ситуация все равно неприятная, да и таких сведений иногда может быть достаточно. Натали нашла подобные уязвимости во всех вышеописанных приложениях. Их механизм работы различался от мессенджера к мессенджеру, но принципиально схема оставалась той же. Хорошая новость для любителей Telegram и Viber: они такого изъяна лишены, с их видеозвонками все в порядке. По крайней мере, пока проблем не выявлено.

В Google Duo уязвимость закрыли в декабре прошлого года, в Facebook Messenger — в ноябре, JioChat и Mocha обновились еще летом. А вот раньше всех аналогичную ошибку исправил Signal, еще в сентябре 2019 года, но этот мессенджер и исследовали первым. Таким образом, специалисты по кибербезопасности лишний раз напомнили о необходимости регулярных обновлений установленных приложений. Можно не знать о серьезной проблеме, но разработчики уже ее исправили.

Сильванович отдельно отмечает, что она проанализировала только функцию видеозвонков между двумя пользователями. То есть лишь тот случай, в котором соединение устанавливается между «абонентами» напрямую. В своем отчете она анонсировала следующий этап работы — групповые видеоконференции в популярных мессенджерах.

Нашли опечатку? Выделите фрагмент и нажмите Ctrl + Enter.
Подписывайтесь на нас в Telegram, Яндекс.Новостях и VK
Предстоящие мероприятия
10 июля, 11:19
РТУ МИРЭА

С приходом летней жары кондиционер становится главным спасением в офисе и дома. Однако многие выставляют минимальную температуру, садятся под прямую струю холодного воздуха и забывают о чистке фильтров, а потом удивляются простуде, сухости в горле и огромным счетам за электричество. Можно ли охлаждать помещение эффективно и при этом не навредить здоровью? Оказывается, кондиционер сам дает множество подсказок о том, как им правильно пользоваться, нужно лишь понимать физику его работы и реакцию организма на перепады температур. Объяснил физические принципы работы климатической техники и рассказал о практических правилах безопасности старший преподаватель кафедры физики и технической механики РТУ МИРЭА Николай Зенченко.

10 июля, 09:46
Марк Чернов

Прогулки наедине с природой в абсолютной тишине существенно повышают риск опасного столкновения с дикими животными. К такому выводу пришли британские биологи, проанализировав базу данных почти 3,5 тысячи инцидентов между людьми и крупными зверями.

10 июля, 13:56
Андрей Серегин

Единственное млекопитающее на планете, способное жить на высоте более 6700 метров, обитает в горах Южной Америки. Ученые выяснили, что секрет выживания этих грызунов кроется в том числе в умении питаться ядовитыми растениями, которыми изобилуют высокогорья.

6 июля, 14:44
Илья Гриднев

Сканирующая туннельная микроскопия достигла квантово-механического предела пространства-времени. Физики провели эксперимент и смоделировали перемещение одиночного электрона с атомарной точностью и скоростью в доли фемтосекунды. Результат показал границы применимости квантовых законов и объяснил механику сверхбыстрых процессов.

8 июля, 13:25
Александр Березин

Плавящийся асфальт в США, многие тысячи погибших в Западной Европе, своеобразное лето в России — все это списывают на вредоносный феномен рекордного Эль-Ниньо. И конечно же, на него спихивают и ожидаемый рост цен на кофе и основные сельхозтовары. Правда, есть в этой картине и белые пятна: в прошлые Эль-Ниньо мировые урожаи росли. Что скорее всего случится в 2026 году и отчего роль этого события может быть куда больше, чем мы думаем?

10 июля, 11:19
РТУ МИРЭА

С приходом летней жары кондиционер становится главным спасением в офисе и дома. Однако многие выставляют минимальную температуру, садятся под прямую струю холодного воздуха и забывают о чистке фильтров, а потом удивляются простуде, сухости в горле и огромным счетам за электричество. Можно ли охлаждать помещение эффективно и при этом не навредить здоровью? Оказывается, кондиционер сам дает множество подсказок о том, как им правильно пользоваться, нужно лишь понимать физику его работы и реакцию организма на перепады температур. Объяснил физические принципы работы климатической техники и рассказал о практических правилах безопасности старший преподаватель кафедры физики и технической механики РТУ МИРЭА Николай Зенченко.

25 июня, 16:20
Любовь С.

Вселенная может оказаться «замкнутой» глобальной структурой, где свет от далеких галактик способен возвращаться к наблюдателю с разных направлений. Именно такой сценарий не удалось исключить авторам нового масштабного обзора. Проверить его предсказания астрономы смогут уже в ближайшие годы.

25 июня, 15:09
Марк Чернов

Ученые впервые на молекулярном уровне доказали, что обычная вода одновременно состоит из двух разных жидких состояний — более плотного и менее плотного, которые непрерывно сменяют друг друга. Раз молекулярная «двойственность» действительно существует, это подтверждает спорную 30-летнюю гипотезу. Новое открытие поможет, наконец, объяснить десятки «странных» физических аномалий воды, включая ее расширение при замерзании и парадоксальное изменение вязкости под давлением.

26 июня, 14:54
Максим Абдулаев

Американские ветеринары установили, что длина шага передних лап у пожилых собак отражает возрастные изменения в работе мозга. Когда у собак развивается деменция, шаги их передних лап становятся короче, причем эта связь не зависит от хронической боли в суставах.

[miniorange_social_login]

Комментарии

7 Комментариев
Этот зоопарк примерно одинаково косячных и кривых мессенджеров когда-нибудь канет в Лету, как страшный сон. В 5G есть одно новшество, крайне нужное всем, в отличие от всякого прочего хлама, нужного только роботам. Так вот, в 5G функции мессенджера будут встроены прямо в протокол, как сейчас СМС встроены в GSM, так что никакого отдельного приложения для отправки СМС скачивать не надо... Соответственно, никаких меряний ничем проводить не нужно будет. Как будто у нас других дел нету, блин...
-
0
+
Дякую тобі, Боже, що у мене телеграм... Ой, стоп. В телеграме же нет видеосвязи )