Специалист по кибербезопасности из Google Project Zero Натали Сильванович отчиталась, что ряд сервисов по обмену сообщениями устранили обнаруженные ею уязвимости. В прошлом году она приватно уведомила разработчиков некоторых мессенджеров, включая Signal, Facebook Messenger и Google Duo, о том, что логика работы этих приложений позволяет злоумышленнику шпионить за жертвой.
В блоге на сайте команды Google Project Zero Натали Сильванович (Natalie Silvanovich) описала свое исследование безопасности популярных приложений для общения. Работу она провела в 2020 году и, в соответствии с негласным кодексом так называемых белых хакеров, опубликовала результаты после того, как уязвимости устранили.
Натали проанализировала логику работы функций видеосвязи в приложениях Signal, Facebook Messenger, Google Duo, JioChat и Mocha. На такой шаг ее сподвигло не только любопытство, но и ранее приобретенный опыт. Дело в том, что около двух лет назад в функции FaceTime на устройствах Apple обнаружили пренеприятную уязвимость: без ведома жертвы злоумышленник мог захватить картинку с камеры телефона.
Причем дело не во взломе приложения, а в использовании некорректной логики работы самой подсистемы видеосвязи. На уровне обмена пакетами с подтверждением связи инициирующая соединение сторона может подменить разрешение на передачу картинки от целевого пользователя. И проблема в том, что на стороне жертвы программа эту манипуляцию посчитает легитимной, даже без действий пользователя.
Да, у такой схемы есть ограничения. Во-первых, необходимо инициировать звонок и сделать это определенным образом. То есть жертва всегда будет иметь возможность отреагировать. Во-вторых, порция полученных в результате такого шпионажа данных будет весьма ограничена. Картинка-то фиксируется с фронтальной камеры — и не факт, что она смотрит куда нужно злоумышленнику. К тому же жертва увидит звонок и либо примет его, либо сбросит. Иными словами, скрытно можно удостовериться только в том, кто возьмет смартфон в руки, когда тот зазвонит.
Но ситуация все равно неприятная, да и таких сведений иногда может быть достаточно. Натали нашла подобные уязвимости во всех вышеописанных приложениях. Их механизм работы различался от мессенджера к мессенджеру, но принципиально схема оставалась той же. Хорошая новость для любителей Telegram и Viber: они такого изъяна лишены, с их видеозвонками все в порядке. По крайней мере, пока проблем не выявлено.
В Google Duo уязвимость закрыли в декабре прошлого года, в Facebook Messenger — в ноябре, JioChat и Mocha обновились еще летом. А вот раньше всех аналогичную ошибку исправил Signal, еще в сентябре 2019 года, но этот мессенджер и исследовали первым. Таким образом, специалисты по кибербезопасности лишний раз напомнили о необходимости регулярных обновлений установленных приложений. Можно не знать о серьезной проблеме, но разработчики уже ее исправили.
Сильванович отдельно отмечает, что она проанализировала только функцию видеозвонков между двумя пользователями. То есть лишь тот случай, в котором соединение устанавливается между «абонентами» напрямую. В своем отчете она анонсировала следующий этап работы — групповые видеоконференции в популярных мессенджерах.