Источник: Unsplash / Christian Wiediger
В блоге команды по кибербезопасности Google Project Zero появилась запись о уязвимостях в популярных мессенджерах. В ней Натали Сильванович описывает методы, позволявшие подслушивать и шпионить за пользователями без их ведома.
Так, в «защищённом мессенджере» Signal существовала брешь, с помощью которой вызывающее устройство могло отправить сообщение принимающей стороне без её ведома (хотя на деле всё должно быть наоборот). Из-за этого злоумышленники могли слушать, что происходит рядом с пользователем ещё до того, как он примет входящий звонок. «Дыру» поправили в сентябре 2019 года.
Нечто подобное можно было провернуть и в Google Duo. Правда в случае с сервисом Google использовалась уязвимость неопределенности параллелизма. Её закрыли в декабре 2020 года. Ещё подобные «слабые места» Сильванович нашла в Facebook Messenger, JioChat и Mocha.
Я изучила передающие сигналы машины состояний семи приложений для видеоконференций и обнаружила пять уязвимостей, позволяющих вызывающему устройству заставить вызываемое устройство передавать аудио- или видеоданные <…> Большинство из них привело к появлению уязвимостей, позволяющих соединять вызовы без взаимодействия с вызываемым.
Натали Сильванович
Специалист также проверила прочие мессенджеры, в том числе и Telegram. Но в них вышеописанных уязвимостей обнаружить не удалось.
Источник: Блог Google Project Zero
Источник: