Уязвимости в приложениях для видеоконференций от Facebook, Google и Signal позволяют шпионить за пользователями

Дата: 20.01.2021. Автор: Артем П. Категории: Новости по информационной безопасности

В приложениях для видеоконференций от Facebook, Google и Signal обнаружены серьезные уязвимости, которые позволяли киберпреступникам прослушивать окружение пользователей до того момента, как собеседник самостоятельно отвечал на звонок.

Ошибки были найдены специалистом по информационной безопасности Натали Сильванович из Google Project Zero в приложениях для обмена сообщениями Signal, Google Duo, Facebook Messenger, JioChat и Mocha. Дополнительно отмечается, что разработчики были своевременно уведомлены об уязвимостях и все ошибки на данный момент уже исправлены.

До момента исправления выявленные уязвимости позволяли целевые пользовательские устройства передавать звук на устройства киберпреступников без необходимости выполнения соответствующего кода.

«Я исследовала семь приложений для видеоконференций и обнаружила в них пять уязвимостей, позволяющих вызывающему устройству заставить вызываемое устройство передавать видео- и аудиоданные. Иными словами, киберпреступники с помощью выявленных уязвимостей могли заставить вызываемое устройство принять вызов, причем пользователь мог даже ничего не знать об этом. Это позволяло прослушивать окружение атакуемой жертвы практически неограниченное время», – отмечает Натали Сильванович.

Уязвимости такого типа были обнаружены в приложениях Signal (сентябрь 2019 г.), Google Duo (декабрь 2020 г.), Facebook Messenger (ноябрь 2020 г.), JioChat (июль 2020 г.), Mocha (август 2020 г.).

«Мы также искали аналогичные уязвимости в других популярных приложениях для видеосвязи, в том числе в Viber, Telegram и во многих других, но таких же проблем в них не обнаружили. При этом мы не изучали функционал групповых вызовов в этих приложениях, поэтому все выявленные уязвимости связаны только с вызовами, которые поступали от одного пользователя к другому. Групповые звонки – это другая область работы, в которой наверняка будут обнаружены такие же проблемы», – резюмировала Натали Сильванович.

Если вы нашли ошибку, пожалуйста, выделите фрагмент текста и нажмите Ctrl+Enter.

Поделиться ссылкой

Артем П

Об авторе Артем П

Автор на портале cisoclub.ru. Добавляйте ваш материал на сайт в разделе "Разместить публикацию".
Читать все записи автора Артем П

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *