От Signal до Facebook Messenger: злоумышленники могли шпионить за юзерами через «дыры» в фаворитных мессенджерах

Источник: Unsplash / Christian Wiediger

В блоге команды по кибербезопасности Гугл Project Zero возникла запись о уязвимостях в фаворитных мессенджерах. В ней Натали Сильванович обрисовывает способы, позволявшие подслушивать и шпионить за юзерами без их ведома.

Так, в «защищённом мессенджере» Signal была брешь, при помощи которой вызывающее устройство могло выслать сообщение принимающей стороне без её ведома (хотя на самом деле всё обязано быть напротив). Из-за этого злоумышленники могли слушать, что происходит рядом с юзером ещё до того, как он воспримет входящий звонок. «Дыру» поправили в сентябре 2019 года.

Нечто схожее можно было провернуть и в Гугл Duo. Правда в случае с обслуживанием Гугл использовалась уязвимость неопределенности параллелизма. Её закрыли в декабре 2020 года. Ещё подобные «слабенькие места» Сильванович отыскала в Facebook Messenger, JioChat и Mocha.

Я исследовала передающие сигналы машинки состояний 7 приложений для видеоконференций и нашла 5 уязвимостей, позволяющих вызывающему устройству вынудить вызываемое устройство передавать аудио- либо видеоданные <…> Большая часть из их привело к возникновению уязвимостей, позволяющих соединять вызовы без взаимодействия с вызываемым.

Натали Сильванович

Спец также проверила остальные мессенджеры, в том числе и Telegram. Но в их вышеперечисленных уязвимостей найти не удалось.

Источник: Блог Гугл Project Zero

Источник: tproger.ru

Поделиться с друзьями:
Андройд IT
Добавить комментарий