Специалист по кибербезопасности из Google Project Zero Натали Сильванович сообщила об устранении уязвимостей в ряде сервисов для обмена сообщениями. В прошлом году она частным образом информировала разработчиков мессенджеров, таких как Signal, Facebook Messenger и Google Duo, о том, что алгоритмы их приложений могут быть использованы злоумышленниками для шпионажа за пользователями.
В блоге на сайте команды Google Project Zero Натали Сильванович (Natalie Silvanovich) описала свое исследование безопасности популярных приложений для общения. Работу она провела в 2020 году и, в соответствии с негласным кодексом так называемых белых хакеров, опубликовала результаты после того, как уязвимости устранили.
Натали исследовала принципы функционирования видеосвязи в приложениях Signal, Facebook Messenger, Google Duo, JioChat и Mocha. На такой шаг ее побудили не только любопытство, но и накопленный ранее опыт. Причина в том, что примерно два года назад в функции FaceTime на устройствах Apple обнаружили пренеприятную уязвимость: без ведома жертвы злоумышленник мог захватить картинку с камеры телефона.
Суть проблемы заключается не в взломе приложения, а в некорректной работе самой подсистемы видеосвязи. На этапе обмена пакетами, подтверждающими соединение, устройство, инициирующее связь, может подделать разрешение на передачу изображения от пользователя. Проблема в том, что программа на стороне жертвы воспринимает эту манипуляцию как допустимую, даже без какого-либо взаимодействия пользователя.
Действительно, предложенная схема имеет свои недостатки. Прежде всего, для ее реализации требуется совершить звонок, и при этом необходимо сделать это определенным способом. Это означает, что у объекта всегда будет возможность среагировать. Кроме того, объем информации, полученной в результате подобного шпионажа, будет невеликим. Ведь изображение фиксируется фронтальной камерой, и нет гарантии, что человек смотрит в ту сторону, которая интересна злоумышленнику. К тому же, жертва увидит входящий вызов и либо ответит на него, либо отклонит. Таким образом, незаметно можно установить лишь то, кто возьмет смартфон в руки, когда он зазвонит.
Ситуация, тем не менее, остается неблагоприятной, и подобной информации порой бывает вполне достаточно. Натали выявила аналогичные уязвимости во всех вышеперечисленных приложениях. Принципы их работы отличались в зависимости от мессенджера, но общая схема оставалась неизменной. Это хорошая новость для Telegram и Viber: их не сопровождают подобные недостатки, и видеозвонки функционируют исправно. Пока что никаких проблем не обнаружено.
В Google Duo уязвимость закрыли в декабре прошлого года, в Facebook Messenger — в ноябре, JioChat и Mocha обновились еще летом. А вот раньше всех аналогичную ошибку исправил Signal, обнаружение уязвимости произошло еще в сентябре 2019 года, однако это приложение было изучено в первую очередь. В очередной раз эксперты в области кибербезопасности подчеркнули важность своевременного обновления программного обеспечения. Пользователь может быть не осведомлен о существующей угрозе, но разработчики уже устранили ее.
Сильванович подчеркивает, что ее исследование охватило исключительно функцию видеозвонков, осуществляемых между двумя участниками. Иными словами, рассматривался сценарий, при котором соединение устанавливается непосредственно между пользователями. В своем отчете она объявила о начале следующего этапа работы – изучении групповых видеоконференций в распространенных мессенджерах.