Контакты Telegram: @recodepress

Привет, что ищешь?

Новости

Уязвимости в мессенджерах Signal, Google Duo, Facebook Messenge позволяли шпионить за пользователями

Специалистка Google Project Zero Натали Сильванович (Natalie Silvanovich) обнаружила ряд серьезных проблем в приложениях Signal, Google Duo, Facebook Messenger, JioChat и Mocha. Из-за этих уязвимостей хакеры могли получать звук с микрофона и картинку с камеры устройства, и следить за тем, что происходит вокруг пользователей (без ведома последних). В настоящее время все баги уже исправлены.

«Я обнаружила пять уязвимостей, которые заставляли вызываемое устройство передавать аудио- или видеоданные на вызывающее устройство», — пишет Сильванович.

Так, уязвимость в Signal, исправленная еще в сентябре 2019 года, позволяла осуществить аудиовызов, отправив сообщение о подключении с вызывающего устройства на вызываемое, а не наоборот. Причем это делалось без взаимодействия с пользователем.

Баг в Google Duo провоцировал возникновение состояния гонки, что позволяло сливать у вызываемой стороны видеопакеты, используя для этого непринятые вызовы. Уязвимость устранили в декабре 2020 года.

О проблеме в Facebook Messenger для Android мы детально рассказывали в ноябре 2020 года. За обнаружение этого бага исследовательница получила 60 000 долларов. Проблема позволяла атакующему совершать аудиовызовы и подключаться к уже активным звонкам без ведома самих абонентов.

Две похожие уязвимости были обнаружены и в коде мессенджеров JioChat и Mocha. Они тоже позволяли подслушивать абонентов и подсматривать за ними. Эти уязвимости закрыли в июле-августе 2020 года.

Сильванович пишет, что искала похожие ошибки и в других приложениях, включая Telegram и Viber, однако там подобных проблем обнаружить не удалось.

Advertisement. Scroll to continue reading.

«Важно отметить, что я не изучала какие-либо функции групповых вызовов этих приложений, и все обнаруженные уязвимости были найдены в одноранговых вызовах. [Групповые вызовы], это область для будущей работы, где могут быть выявлены дополнительные проблемы», — подчеркивает исследовательница.

Оставить комментарий

Комментировать через социальные сети:

Advertisement

Рекомендованные

Бизнес

Вчера Павел Дуров написал в телеграм-канале о закрытии криптовалютного проекта Telegram Open Network (TON). В 2018 году Дуров привлек на разработку TON $1,7 млрд от ограниченного круга...

Бизнес

Компания Hikvision совместно с облачным сервисом видеонаблюдения и видеоаналитики Ivideon представили линейку новых моделей IP-камер. Устройства имеют заводскую прошивку, которая обеспечивают доступ в облако Ivideon...

Бизнес

Ак Барс Банк подключился к блокчейн-платформе Федеральной налоговой службы РФ, которая способствует ускоренному рассмотрению банком заявок юридических лиц и индивидуальных предпринимателей, пострадавших от пандемии коронавирусной инфекции. Сервис позволяет...

Бизнес

Известный предприниматель Владимир Горбунов в ходе онлайн-конференции, посвященной развитию бизнеса в период коронавируса, заявил, что главным трендом ближайших лет станут интернет-технологии. Самоизоляция многих заставила...