Як стало відомо, користувачів Signal та Facebook Messenger прослуховували без їхньої згоди. Крім Signal та Facebook Messenger, прослуховувати користувачів могли в Google Duo та ще в двох додатках для відеоконференцій та чату, JioChat та Mocha.
Недоліки дозволяли дзвінку підключатися до приймаючого пристрою, не попереджаючи будь-яким чином користувача отримуючого пристрою, тихо відкриваючи аудіо, а іноді і відео, до поточного пристрою. Усі недоліки були виправлені, тому обов’язково оновлюйте програми на своїх пристроях Android.
"Теоретично забезпечення згоди абонента перед передачею аудіо чи відео повинно бути досить простим питанням очікування, поки користувач не прийме дзвінок, перш ніж додавати будь-які треки до однорангового з'єднання", - написала Сільванович у дописі в блозі Google Project Zero .
Додаток Signal iOS не постраждав лише тому, що другий, не пов'язаний з цим недолік заважав завершити секретний дзвінок. Написала Сільванович у своєму звіті про помилки.
Інші чотири додатки для Android були виправлені нещодавно. JioChat (широко використовується в Індії) у липні 2020 року, Mocha (широко застосовується у В’єтнамі) у серпні, Facebook Messenger у листопаді та Google Duo у грудні 2020. Якщо ви використовуєте будь-яку з цих програм, переконайтесь, що вони актуальні.
Сільванович написала, що вона також вивчила Telegram і Viber, дві інші широко використовувані програми для шифрування повідомлень , але не виявила проблем із підключенням дзвінків без відома приймача дзвінків. У листопаді 2018 року вона виявила подібний недолік у версіях WhatsApp для Android та iOS, який був швидко виправлений.
Однак Сільванович зазначила, що вона розглядала лише функції виклику один на один.
"Я не розглядала жодних функцій групового дзвінка в цих додатках", - написала вона. "Це область для майбутньої роботи, яка може виявити додаткові проблеми".
Дослідження Сільванович щодо цих програм обміну повідомленнями випливає із подібного недоліку в Apple FaceTime на iOS та macOS, який був виявлений у січні 2019 року.
"Вразливість полягала в логічній помилці в автоматі виклику FaceTime" - частині програми, яка визначає, підключений виклик чи ні. Її можна було здійснити, використовуючи лише користувальницький інтерфейс пристрою", - написав Сільванович.
"Той факт, що сталася така серйозна і легкодоступна вразливість, - додала вона, - змусила мене задуматися, чи були в інших месенджерах подібні вразливості".
Проблеми з Android та iOS
Сільванович зосередилася на програмах Android саме в цьому конкретному випадку, ймовірно, тому, що їх код легше вивчити, ніж програми iOS. Але, як показують екземпляри FaceTime, WhatsApp та Signal, програми обміну повідомленнями iOS не захищені від цих недоліків.
Один користувача Twitter, запитав чому вона не перевірила зашифрований месенджер Threema, який переважно використовується німецькомовними. Сільванович відповіла, що "я розглядала додатки з 10-мільйонною інсталяцією в Google Play, які приймають вхідні дзвінки".
Не забудьте підписатися на нашого Головного Редактора в Instagram, або ж на нашу офіційну сторінку в Facebook, канал в Telegram та в Twitter. Також стежте за нами в Google News.