Источник: Unsplash / Christian Wiediger
В блоге команды по кибербезопасности Гугл Project Zero возникла запись о уязвимостях в фаворитных мессенджерах. В ней Натали Сильванович обрисовывает способы, позволявшие подслушивать и шпионить за юзерами без их ведома.
Так, в «защищённом мессенджере» Signal была брешь, при помощи которой вызывающее устройство могло выслать сообщение принимающей стороне без её ведома (хотя на самом деле всё обязано быть напротив). Из-за этого злоумышленники могли слушать, что происходит рядом с юзером ещё до того, как он воспримет входящий звонок. «Дыру» поправили в сентябре 2019 года.
Нечто схожее можно было провернуть и в Гугл Duo. Правда в случае с обслуживанием Гугл использовалась уязвимость неопределенности параллелизма. Её закрыли в декабре 2020 года. Ещё подобные «слабенькие места» Сильванович отыскала в Facebook Messenger, JioChat и Mocha.
Я исследовала передающие сигналы машинки состояний 7 приложений для видеоконференций и нашла 5 уязвимостей, позволяющих вызывающему устройству вынудить вызываемое устройство передавать аудио- либо видеоданные <…> Большая часть из их привело к возникновению уязвимостей, позволяющих соединять вызовы без взаимодействия с вызываемым.
Натали Сильванович
Спец также проверила остальные мессенджеры, в том числе и Telegram. Но в их вышеперечисленных уязвимостей найти не удалось.
Источник: Блог Гугл Project Zero
Источник: