В приложениях для видеоконференций от Facebook, Google и Signal обнаружены серьезные уязвимости, которые позволяли киберпреступникам прослушивать окружение пользователей до того момента, как собеседник самостоятельно отвечал на звонок.
Ошибки были найдены специалистом по информационной безопасности Натали Сильванович из Google Project Zero в приложениях для обмена сообщениями Signal, Google Duo, Facebook Messenger, JioChat и Mocha. Дополнительно отмечается, что разработчики были своевременно уведомлены об уязвимостях и все ошибки на данный момент уже исправлены.
До момента исправления выявленные уязвимости позволяли целевые пользовательские устройства передавать звук на устройства киберпреступников без необходимости выполнения соответствующего кода.
«Я исследовала семь приложений для видеоконференций и обнаружила в них пять уязвимостей, позволяющих вызывающему устройству заставить вызываемое устройство передавать видео- и аудиоданные. Иными словами, киберпреступники с помощью выявленных уязвимостей могли заставить вызываемое устройство принять вызов, причем пользователь мог даже ничего не знать об этом. Это позволяло прослушивать окружение атакуемой жертвы практически неограниченное время», – отмечает Натали Сильванович.
Уязвимости такого типа были обнаружены в приложениях Signal (сентябрь 2019 г.), Google Duo (декабрь 2020 г.), Facebook Messenger (ноябрь 2020 г.), JioChat (июль 2020 г.), Mocha (август 2020 г.).
«Мы также искали аналогичные уязвимости в других популярных приложениях для видеосвязи, в том числе в Viber, Telegram и во многих других, но таких же проблем в них не обнаружили. При этом мы не изучали функционал групповых вызовов в этих приложениях, поэтому все выявленные уязвимости связаны только с вызовами, которые поступали от одного пользователя к другому. Групповые звонки – это другая область работы, в которой наверняка будут обнаружены такие же проблемы», – резюмировала Натали Сильванович.
ЧИТАТЬ ВСЕ НОВОСТИ НА САЙТЕ | ПОДПИСЫВАЙТЕСЬ НА НАШ TELEGRAM КАНАЛ
