В блоге на сайте команды Google Project
Zero Натали Сильванович (Natalie Silvanovich) описала свое исследование безопасности популярных
приложений для общения. Работу она
провела в 2020 году и, в соответствии с негласным кодексом так называемых белых
хакеров, опубликовала результаты после того, как уязвимости устранили, пишет naked—science.ru.
Натали
проанализировала логику работы функций видеосвязи в приложениях Signal, Facebook Messenger, Google Duo, JioChat и Mocha. На такой шаг ее сподвигло не только любопытство, но и ранее
приобретенный опыт. Дело в том, что около двух лет назад в
функции FaceTime на устройствах Apple обнаружили пренеприятную
уязвимость: без ведома жертвы злоумышленник мог захватить картинку с камеры
телефона.
Причем дело не во взломе приложения, а в использовании
некорректной логики работы самой подсистемы видеосвязи. На уровне обмена
пакетами с подтверждением связи инициирующая соединение сторона может подменить
разрешение на передачу картинки от целевого пользователя. И проблема в том, что
на стороне жертвы программа эту манипуляцию посчитает легитимной, даже без
действий пользователя.
Да, у такой схемы
есть ограничения. Во-первых, необходимо инициировать звонок и сделать
это определенным образом. То есть жертва всегда будет иметь возможность
отреагировать. Во-вторых, порция полученных в результате такого шпионажа данных
будет весьма ограничена. Картинка-то фиксируется с фронтальной камеры — и не
факт, что она смотрит куда нужно злоумышленнику. К тому же жертва увидит звонок
и либо примет его, либо сбросит. Иными словами, скрытно можно удостовериться
только в том, кто возьмет смартфон в руки, когда тот зазвонит.
Но ситуация все
равно неприятная, да и таких сведений иногда может быть достаточно. Натали
нашла подобные уязвимости во всех вышеописанных приложениях. Их механизм работы
различался от мессенджера к мессенджеру, но принципиально схема оставалась той
же. Хорошая новость для любителей Telegram и Viber: они такого
изъяна лишены, с их видеозвонками все в порядке. По крайней мере, пока проблем
не выявлено.
В Google Duo уязвимость закрыли в декабре прошлого года, в Facebook Messenger — в ноябре, JioChat и Mocha обновились еще летом. А вот раньше всех
аналогичную ошибку исправил Signal, еще в сентябре 2019 года, но этот
мессенджер и исследовали первым. Таким образом, специалисты по
кибербезопасности лишний раз напомнили о необходимости регулярных обновлений
установленных приложений. Можно не знать о серьезной проблеме, но разработчики
уже ее исправили.
Сильванович
отдельно отмечает, что она проанализировала только функцию видеозвонков между
двумя пользователями. То есть лишь тот случай, в котором соединение
устанавливается между «абонентами» напрямую. В своем отчете она анонсировала
следующий этап работы — групповые видеоконференции в популярных мессенджерах.
