在 Messenger、Google Duo 和 Signal 等消息软件中发现的一个新漏洞允许记录用户。
一组谷歌研究人员揭示了一些最常用的即时通讯应用程序中的漏洞,例如 Messenger 和 Signal。
这是来自 Project Zero 的研究人员的发现,该项目汇集了安全专家,以查找程序和 Internet 中的问题和错误。 例如,零项目的成员发现了历史上最大的处理器漏洞。
研究人员 Natalie Silvanovich 在七个即时通讯应用程序中发现的漏洞可能更加危险,因为它们允许攻击者使用受害者的设备录制音频和视频,而无需受害者做任何事情,也无需受害者同意。
谷歌在通讯应用程序中发现严重错误
调查开始时,在 2019 年 1 月,有人发现 iPhone 中的一个错误使我们能够在他们接听电话之前听到和看到我们正在呼叫的人。
据西尔瓦诺维奇介绍,这么严重的漏洞,同时又好用,是因为一个逻辑错误,让他思考是否可以在其他平台上找到类似的东西。
事实上,在审查了一些允许通话和视频通话的行业消息应用程序后,他发现许多都存在类似的错误。 这是因为大多数消息传递应用程序使用 WebRTC,这是一种允许两个实体之间连接的实时通信标准。
结果,这些应用程序有几个安全漏洞,允许攻击者在用户接收它之前建立连接,甚至必须接受它; 因此,除了影响其操作之外,它还可以直接从智能手机录制音频甚至视频。
信号也受漏洞影响
受影响列表中的应用程序之一是 Signal,由于其作为 WhatsApp 或 Telegram 的更安全替代品的介绍,它最近获得了惊人的增长。 在这种情况下,该漏洞允许攻击者直接通过设备的麦克风收听,因为该应用程序没有检查谁在拨打电话。 由于 2019 年 9 月发布的更新,这个问题得到了解决; 此外,Signal 不再使用 WebRTC 进行连接。
相比之下,其他应用程序修复错误所需的时间更长; 具有讽刺意味的是,Google Duo 是最新的,它在 2020 年 12 月修复了一个问题,即从未接听电话中过滤视频数据包。
Facebook Messenger 是另一个受影响的流行应用程序,它于 2020 年 11 月解决了该问题; 在这种情况下,攻击者可以发起呼叫,同时向目标发送消息,导致应用程序开始向攻击者发送声音,而不会在屏幕上显示呼叫。
它充分说明了项目零决定直到现在才公开这些问题的问题的严重性。 谷歌以一项极具争议的政策启动该项目,即在 90 天内发布发现的漏洞,无论它们是否已修复; 例如,在微软发布补丁之前,它发布了如何绕过 Windows 10S 的限制。
但是,这种情况似乎严重到让 Google 等到所有应用程序(包括它自己的应用程序)都打好补丁。