Уязвимости в мессенджерах Signal, Google Duo, Facebook Messenge позволяли шпионить за пользователями - «Новости» » Интернет технологии
sitename
Энтузиаст построил видеокарту из 8192 копеечных чипов RISC-V - «Новости сети»
Энтузиаст построил видеокарту из 8192 копеечных чипов RISC-V - «Новости сети»
«Джеймс Уэбб» показал самый подробный снимок галактики Центавр А - «Новости сети»
«Джеймс Уэбб» показал самый подробный снимок галактики Центавр А - «Новости сети»
Успех Kingdom Come: Deliverance 2 не помог актёру озвучки Яна Птачека пробиться в игровую индустрию, но открыл дорогу в стримеры - «Новости сети»
Успех Kingdom Come: Deliverance 2 не помог актёру озвучки Яна Птачека пробиться в игровую индустрию, но открыл дорогу в стримеры - «Новости сети»
Больше никаких Burnout и Need for Speed: спустя 30 лет создания гоночных игр Criterion «целиком сосредоточена» на Battlefield - «Новости сети»
Больше никаких Burnout и Need for Speed: спустя 30 лет создания гоночных игр Criterion «целиком сосредоточена» на Battlefield - «Новости сети»
Продажи No Rest for the Wicked в раннем доступе Steam превысили 2 миллиона копий, и «лучшее ещё впереди» - «Новости сети»
Продажи No Rest for the Wicked в раннем доступе Steam превысили 2 миллиона копий, и «лучшее ещё впереди» - «Новости сети»
Разработчики Flipper Zero пересмотрели подход к развитию прошивки - «Новости»
Разработчики Flipper Zero пересмотрели подход к развитию прошивки - «Новости»
Специалисты Google нарушили работу сети резидентных прокси NetNut - «Новости»
Специалисты Google нарушили работу сети резидентных прокси NetNut - «Новости»
19-летнего участника группировки Scattered Spider экстрадировали в США - «Новости»
19-летнего участника группировки Scattered Spider экстрадировали в США - «Новости»
Из-за взлома Oracle PeopleSoft у компании Nissan украли данные - «Новости»
Из-за взлома Oracle PeopleSoft у компании Nissan украли данные - «Новости»
Вымогательская группа Gentlemen обновляет свой инструментарий - «Новости»
Вымогательская группа Gentlemen обновляет свой инструментарий - «Новости»
Как заработать денег, не выходя из дома, мы вам поможем с этим разобраться » Новости » Уязвимости в мессенджерах Signal, Google Duo, Facebook Messenge позволяли шпионить за пользователями - «Новости»

Специалистка Google Project Zero Натали Сильванович (Natalie Silvanovich) обнаружила ряд серьезных проблем в приложениях Signal, Google Duo, Facebook Messenger, JioChat и Mocha. Из-за этих уязвимостей хакеры могли получать звук с микрофона и картинку с камеры устройства, и следить за тем, что происходит вокруг пользователей (без ведома последних). В настоящее время все баги уже исправлены.




«Я обнаружила пять уязвимостей, которые заставляли вызываемое устройство передавать аудио- или видеоданные на вызывающее устройство», — пишет Сильванович.


Так, уязвимость в Signal, исправленная еще в сентябре 2019 года, позволяла осуществить аудиовызов, отправив сообщение о подключении с вызывающего устройства на вызываемое, а не наоборот. Причем это делалось без взаимодействия с пользователем.


Баг в Google Duo провоцировал возникновение состояния гонки, что позволяло сливать у вызываемой стороны видеопакеты, используя для этого непринятые вызовы. Уязвимость устранили в декабре 2020 года.


О проблеме в Facebook Messenger для Android мы детально рассказывали в ноябре 2020 года. За обнаружение этого бага исследовательница получила 60 000 долларов. Проблема позволяла атакующему совершать аудиовызовы и подключаться к уже активным звонкам без ведома самих абонентов.


Две похожие уязвимости были обнаружены и в коде мессенджеров JioChat и Mocha. Они тоже позволяли подслушивать абонентов и подсматривать за ними. Эти уязвимости закрыли в июле-августе 2020 года.


Сильванович пишет, что искала похожие ошибки и в других приложениях, включая Telegram и Viber, однако там подобных проблем обнаружить не удалось.


«Важно отметить, что я не изучала какие-либо функции групповых вызовов этих приложений, и все обнаруженные уязвимости были найдены в одноранговых вызовах. [Групповые вызовы], это область для будущей работы, где могут быть выявлены дополнительные проблемы», — подчеркивает исследовательница.


Специалистка Google Project Zero Натали Сильванович (Natalie Silvanovich) обнаружила ряд серьезных проблем в приложениях Signal, Google Duo, Facebook Messenger, JioChat и Mocha. Из-за этих уязвимостей хакеры могли получать звук с микрофона и картинку с камеры устройства, и следить за тем, что происходит вокруг пользователей (без ведома последних). В настоящее время все баги уже исправлены. I found logic bugs that allow audio or video to be transmitted without user consent in five mobile applications including Signal, Duo and Facebook Messenger — Natalie Silvanovich (@natashenka) January 19, 2021 «Я обнаружила пять уязвимостей, которые заставляли вызываемое устройство передавать аудио- или видеоданные на вызывающее устройство», — пишет Сильванович. Так, уязвимость в Signal, исправленная еще в сентябре 2019 года, позволяла осуществить аудиовызов, отправив сообщение о подключении с вызывающего устройства на вызываемое, а не наоборот. Причем это делалось без взаимодействия с пользователем. Баг в Google Duo провоцировал возникновение состояния гонки, что позволяло сливать у вызываемой стороны видеопакеты, используя для этого непринятые вызовы. Уязвимость устранили в декабре 2020 года. О проблеме в Facebook Messenger для Android мы детально рассказывали в ноябре 2020 года. За обнаружение этого бага исследовательница получила 60 000 долларов. Проблема позволяла атакующему совершать аудиовызовы и подключаться к уже активным звонкам без ведома самих абонентов. Две похожие уязвимости были обнаружены и в коде мессенджеров JioChat и Mocha. Они тоже позволяли подслушивать абонентов и подсматривать за ними. Эти уязвимости закрыли в июле-августе 2020 года. Сильванович пишет, что искала похожие ошибки и в других приложениях, включая Telegram и Viber, однако там подобных проблем обнаружить не удалось. «Важно отметить, что я не изучала какие-либо функции групповых вызовов этих приложений, и все обнаруженные уязвимости были найдены в одноранговых вызовах. _
Цитирование статьи, картинки - фото скриншот - Rambler News Service.
Иллюстрация к статье - Яндекс. Картинки.
Есть вопросы. Напишите нам.
Общие правила  поведения на сайте.
CSS

Смотрите также

А что там на главной? )))



Комментарии )))



Войти через: