Nowo odkryta luka w oprogramowaniu do przesyłania wiadomości, takim jak Messenger, Google Duo i Signal, umożliwiła nagrywanie użytkowników.
Zespół badaczy Google ujawnił lukę w niektórych z najczęściej używanych aplikacji do obsługi wiadomości błyskawicznych, takich jak Messenger i Signal.
To odkrycie badacza z Project Zero, projektu Google, który skupia ekspertów ds. Bezpieczeństwa w celu znalezienia problemów i błędów w programach i Internecie. Na przykład członkowie Project Zero odkryli największą lukę w zabezpieczeniach procesora w historii.
Błędy wykryte przez badaczkę Natalie Silvanovich w siedmiu komunikatorach mogły być jeszcze bardziej niebezpieczne, ponieważ umożliwiały napastnikom nagrywanie audio i wideo za pomocą urządzenia ofiary, bez konieczności wykonywania jakichkolwiek czynności i bez zgody ofiary.
Google wykrył poważne błędy w aplikacjach do przesyłania wiadomości
Dochodzenie rozpoczęło się, gdy w styczniu 2019 roku ujawniono, że błąd w iPhonie pozwolił nam usłyszeć i zobaczyć osobę, do której dzwoniliśmy, zanim odebrała telefon.
Zdaniem Silvanovicha tak poważna luka, a jednocześnie łatwa w obsłudze, powstała z powodu błędu logicznego, skłoniła go do zastanowienia się, czy mógłby znaleźć coś podobnego na innych platformach.
I rzeczywiście, po przejrzeniu niektórych branżowych aplikacji do przesyłania wiadomości, które umożliwiają rozmowy i rozmowy wideo, odkrył, że wiele z nich ma podobne błędy. Dzieje się tak, ponieważ większość aplikacji do przesyłania wiadomości używa WebRTC, standardu komunikacji w czasie rzeczywistym, który umożliwia połączenie między dwoma podmiotami.
W rezultacie te aplikacje miały kilka luk w zabezpieczeniach, umożliwiając atakującemu nawiązanie połączenia, zanim otrzymujący je użytkownik musiał je zaakceptować; w rezultacie mógł nagrywać dźwięk, a nawet wideo bezpośrednio ze smartfona, oprócz wpływu na jego działanie.
Luka wpływa również na Signal
Jedną z aplikacji na liście, której dotyczy problem, jest Signal, który ostatnio cieszył się spektakularnym rozwojem właśnie dzięki prezentacji jako bezpieczniejszej alternatywy dla WhatsApp lub Telegram. W jej przypadku luka pozwalała atakującemu na słuchanie bezpośrednio przez mikrofon urządzenia, ponieważ aplikacja nie sprawdzała, kto wykonywał połączenie. Ten problem został rozwiązany dzięki aktualizacji opublikowanej we wrześniu 2019 roku; ponadto Signal nie używa już WebRTC do nawiązywania połączeń.
W przeciwieństwie do innych aplikacji naprawienie błędów zajęło trochę więcej czasu; Jak na ironię, Google Duo był najnowszy, rozwiązując w grudniu 2020 roku problem polegający na filtrowaniu pakietów danych wideo z nieodebranych połączeń.
Facebook Messenger to kolejna popularna aplikacja, której dotyczy problem, która rozwiązała problem w listopadzie 2020 roku; w jej przypadku osoba atakująca może zainicjować połączenie i jednocześnie wysłać wiadomość do celu, powodując, że aplikacja zacznie wysyłać dźwięk do atakującego bez pokazywania połączenia na ekranie.
Wiele mówi o powadze problemu, że Project Zero zdecydował się nie ujawniać tych problemów do tej pory. Google rozpoczął projekt od wysoce kontrowersyjnej polityki publikowania luk wykrytych w ciągu 90 dni, niezależnie od tego, czy zostały one naprawione; na przykład, kiedy opublikował, jak ominąć ograniczenia systemu Windows 10S, zanim Microsoft będzie mógł opublikować poprawkę.
Wydaje się jednak, że ten przypadek był na tyle poważny, że Google zaczekał, aż wszystkie aplikacje (w tym własne) zostaną załatane.