Недавно обнаруженная уязвимость в программах обмена сообщениями, таких как Messenger, Google Duo и Signal, позволяла записывать пользователей.
Команда исследователей Google выявила уязвимость в некоторых из наиболее часто используемых приложений для обмена мгновенными сообщениями, таких как Messenger и Signal.
Это открытие исследователя из Project Zero, проекта Google, который объединяет экспертов по безопасности для поиска проблем и ошибок в программах и в Интернете. Например, участники Project Zero обнаружили самую большую уязвимость процессора в истории.
Ошибки, обнаруженные исследователем Натали Сильванович в семи приложениях для обмена мгновенными сообщениями, могли быть еще более опасными, поскольку они позволяли злоумышленникам записывать аудио и видео с помощью устройства жертвы, при этом жертва ничего не должна делать и без ее согласия.
Google обнаружил серьезные ошибки в приложениях для обмена сообщениями
Расследование началось, когда в январе 2019 года выяснилось, что ошибка в iPhone позволяет нам слышать и видеть человека, которому мы звонили, до того, как он ответил на звонок.
По словам Сильвановича, такая серьезная и в то же время простая в использовании уязвимость возникла из-за логической ошибки, заставившей его задуматься о том, сможет ли он найти что-то подобное на других платформах.
И действительно, после обзора некоторых отраслевых приложений для обмена сообщениями, которые позволяют звонки и видеозвонки, он обнаружил, что во многих из них есть похожие ошибки. Это связано с тем, что большинство приложений для обмена сообщениями используют WebRTC – стандарт связи в реальном времени, который позволяет устанавливать соединение между двумя объектами.
В результате в этих приложениях было несколько дыр в безопасности, что позволяло злоумышленнику установить соединение до того, как получающий его пользователь даже должен был его принять; в результате он мог записывать аудио и даже видео прямо со смартфона, что не влияло на его работу.
Сигнал также подвержен уязвимости
Одним из приложений в списке уязвимых является Signal, который в последнее время демонстрирует впечатляющий рост именно благодаря тому, что он представляет собой более безопасную альтернативу WhatsApp или Telegram. В этом случае уязвимость позволяла злоумышленнику слушать напрямую через микрофон устройства, поскольку приложение не проверяло, кто звонил. Эта проблема была решена благодаря обновлению, опубликованному в сентябре 2019 года; Кроме того, Signal больше не использует WebRTC для установления соединений.
Напротив, другим приложениям потребовалось немного больше времени, чтобы исправить свои ошибки; По иронии судьбы, Google Duo был последним, исправив в декабре 2020 года проблему, которая заключалась в фильтрации пакетов видеоданных от неотвеченных вызовов.
Facebook Messenger – еще одно популярное приложение, в котором проблема была устранена в ноябре 2020 года; в этом случае злоумышленник может инициировать вызов и в то же время отправить сообщение цели, в результате чего приложение начнет посылать звук злоумышленнику, не отображая вызов на экране.
О серьезности проблемы во многом говорит то, что Project Zero до сих пор решил не предавать гласности эти проблемы. Google начал проект с весьма спорной политикой, публикаций уязвимостей, обнаруженных в течение 90 дней, независимо от того, были ли они были исправлены; например, когда он опубликовал, как обойти ограничения Windows 10S, прежде чем Microsoft сможет опубликовать исправление.
Однако этот случай, похоже, был достаточно серьезным, чтобы Google дождался, пока все приложения (включая его собственное) не будут исправлены.