Σάββατο, 27 Φεβρουαρίου, 03:16
Αρχική security Bugs σε Messenger, Signal, Google Duo επέτρεπαν κατασκοπεία

Bugs σε Messenger, Signal, Google Duo επέτρεπαν κατασκοπεία

Ερευνήτρια ασφαλείας εντόπισε σφάλματα σε δημοφιλείς, mobile εφαρμογές τηλεδιάσκεψης και chat που επέτρεπαν σε πιθανούς επιτιθέμενους να ακούσουν ήχους και να λάβουν δεδομένα προτού το άτομο στο άλλο άκρο λάβει τις κλήσεις. Τα σφάλματα ανακαλύφθηκαν από την ερευνήτρια της ομάδας Google Project Zero, Natalie Silvanovich και πλέον έχουν διορθωθεί. Οι εφαρμογές που ήταν ευάλωτες στα bugs ήταν οι: Signal, Google Duo, Facebook Messenger, JioChat και Mocha.

Google Duo

Οι ευπάθειες ανάγκαζαν τις στοχευμένες συσκευές να μεταδώσουν ήχο και βίντεο στις συσκευές των εισβολέων χωρίς την ανάγκη εκτέλεσης κώδικα.

Διερεύνησα τους μηχανισμούς κλήσεων επτά εφαρμογών τηλεδιάσκεψης και βρήκα πέντε ευπάθειες που επιτρέπουν στη συσκευή του καλούντος να αναγκάσει τη συσκευή του ατόμου που δέχεται την κλήση, να μεταδώσει δεδομένα ήχου ή βίντεο“, εξήγησε η Silvanovich.

Σύμφωνα με την ερευνήτρια, ακόμα και αν η μετάδοση δεδομένων (από το άτομο που δέχεται στην κλήση στον καλούντα), είναι αναπόφευκτη, τουλάχιστον το άτομο θα έπρεπε πρώτα να απαντήσει στην κλήση.

Ωστόσο, όταν κοίταξα τις εφαρμογές, είδα ότι επέτρεπαν τη μετάδοση με πολλούς διαφορετικούς τρόπους. Οι περισσότερες από αυτές είχαν ευπάθειες που επέτρεπαν τη σύνδεση κλήσεων χωρίς αλληλεπίδραση από το άτομο που δεχόταν την κλήση“.

Signal

Η ερευνήτρια ανέφερε ένα τέτοιο σφάλμα στο Signal που διορθώθηκε τον Σεπτέμβριο του 2019.

Messenger

Αντίστοιχα, ένα σφάλμα του Google Duo έκανε τα άτομα που δέχονταν κλήσεις να διαρρέουν βίντεο στον καλούντα μέσω κλήσεων στις οποίες δεν απαντούσαν. Το σφάλμα αυτό διορθώθηκε τον Δεκέμβριο του 2020. Το Νοέμβριο του 2020 διορθώθηκε και μια ευπάθεια στο Facebook Messenger που επέτρεψε τη σύνδεση κλήσεων ήχου, πριν το άτομο απαντήσει στην κλήση.

Τέλος, δύο παρόμοιες ευπάθειες εντοπίστηκαν στα JioChat και Mocha messengers τον Ιούλιο του 2020, οι οποίες επέτρεπαν την αποστολή δεδομένων χωρίς τη συγκατάθεση του χρήστη. Το σφάλμα στο JioChat διορθώθηκε τον Ιούλιο 2020 και του Mocha τον Αύγουστο του 2020.

Η Silvanovich έψαξε για αντίστοιχα ζητήματα σε άλλες εφαρμογές τηλεδιάσκεψης, όπως το Telegram και το Viber, αλλά δεν βρήκε κάτι.

Η πλειονότητα των εφαρμογών τηλεδιάσκεψης που διερεύνησα, είχαν ευπάθειες που επέτρεπαν τη μετάδοση περιεχομένου ήχου ή βίντεο από το άτομο που δέχεται μια κλήση στον καλούντα, χωρίς τη συγκατάθεση του πρώτου“, πρόσθεσε η Silvanovich.

Είναι επίσης σημαντικό να σημειωθεί ότι δεν εξέτασα χαρακτηριστικά ομαδικών κλήσεων αυτών των εφαρμογών και όλες οι ευπάθειες που αναφέρθηκαν, βρέθηκαν σε κλήσεις peer-to-peer. Αυτός είναι ένας τομέας για μελλοντική εργασία που θα μπορούσε να αποκαλύψει πρόσθετα προβλήματα“.

Πηγή: Bleeping Computer

ΑΦΗΣΤΕ ΜΙΑ ΑΠΑΝΤΗΣΗ

Please enter your comment!
Please enter your name here

Digital Fortress
Digital Fortresshttps://www.secnews.gr
Pursue Your Dreams & Live!

LIVE NEWS

Λος Άντζελες: Ιπτάμενα αυτοκίνητα στον ουρανό της πόλης μέχρι το 2024

Ένα βήμα πιο κοντά στο να γίνουν πραγματικότητα, βρίσκονται τώρα τα ιπτάμενα αυτοκίνητα, καθώς ένας από τους μεγαλύτερους παίκτες στον τομέα δεσμεύθηκε...

Πως να αποκρύψετε το Tab bar στο Safari για iPad (ή να το επαναφέρετε)

Από προεπιλογή, το Safari για iPad εμφανίζει μια γραμμή εργαλείων γεμάτη browser tabs όταν έχετε περισσότερες από μία καρτέλες ανοιχτές. Εάν προτιμάτε...

Ο Bill Gates λέει ότι προτιμά τα Android smartphone αντί των iPhone

Ο συνιδρυτής της Microsoft, Bill Gates, αυτή την εβδομάδα συμμετείχε στην πρώτη του συνάντηση με την εταιρεία Clubhouse, η οποία διαθέτει την...

Κυβερνοεγκληματίες προσφέρουν hacking υπηρεσίες σε κυβερνήσεις

Hacking ομάδες που εμπλέκονται σε διάφορα εγκλήματα στον κυβερνοχώρο, είναι πλέον τόσο εξειδικευμένες, που οι κυβερνήσεις κρατών τις χρησιμοποιούν για δικές τους...

Η Intel διόρθωσε σφάλματα στους drivers Wi-Fi και Wireless Bluetooth

Η Intel έχει αντιμετωπίσει ζητήματα στους drivers Wi-Fi και Wireless Bluetooth που προκαλούν σφάλματα BSOD στα Windows 10 και στις συσκευές Bluetooth...
00:03:10

Hyundai: Η ανάκληση 82.000 ηλεκτρικών οχημάτων θα είναι μια από τις πιο ακριβές στην ιστορία

https://www.youtube.com/watch?v=TJxiFe0HESw Η Hyundai θα ανακαλέσει 82.000 ηλεκτρικά αυτοκίνητα για να αντικαταστήσει τις μπαταρίες τους, καθώς έγιναν 15...
00:02:35

Το Star Wars: Republic Commando έρχεται σε PS4 και Nintendo Switch

https://www.youtube.com/watch?v=b1whMXAa8p8 Ήταν το 1977 όταν ο George Lucas μας έβαλε στον φανταστικό κόσμο του Star Wars, μέσω...

Npower: Απενεργοποιεί mobile app μετά από credential stuffing επιθέσεις

Μία από τις μεγαλύτερες εταιρείες ενέργειας του Ηνωμένου Βασιλείου, η Npower, αναγκάστηκε να απενεργοποιήσει το mobile app της, όταν έμαθε για μια...
00:10:11

Εικονική πραγματικότητα (VR): Τί είναι και πώς αλλάζει τη ζωή μας;

Συχνά ακούμε τον όρο Εικονική Πραγματικότητα (VR) σε καινοτομίες που αφορούν τον χώρο του gaming. Ωστόσο, αυτή η τεχνολογία δεν περιορίζεται μόνο...

Η γιγαντιαία εταιρεία Sequoia Capital αποκαλύπτει παραβίαση δεδομένων

Η αμερικανική εταιρεία VC, Sequoia Capital, αποκαλύπτει ότι δέχτηκε μια hacking επίθεση. Από την ίδρυση της το 1972, η εταιρεία επιχειρηματικών κεφαλαίων...