Стаття доступна українською…
Как стало известно, пользователей Signal и Facebook Messenger прослушивали без их согласия. Кроме Signal и Facebook Messenger, прослушивать пользователей могли в Google Duo и еще в двух приложениях для видеоконференций и чата, JioChat и Mocha.
Недостатки позволяли звонку подключаться к принимающему устройству, не предупреждая каким-либо образом пользователя получающего устройства, тихо открывая аудио, а иногда и видео, к текущему устройства. Все недостатки были исправлены, поэтому обязательно обновляйте программы на своих устройствах Android.
"Теоретически обеспечения согласия абонента перед передачей аудио или видео должно быть достаточно простым вопросом ожидания, пока пользователь не примет звонок, прежде чем добавлять любые треки в одноранговой соединения", - написала Сильванович в заметке в блоге Google Project Zero.
Приложение Signal iOS не пострадало только потому, что второй, не связанный с этим недостаток, мешал завершить секретный звонок. Написала Сильванович в своем отчете об ошибках.
Остальные четыре приложения для Android были исправлены недавно. JioChat (широко используется в Индии) в июле 2020 года, Mocha (широко применяется во Вьетнаме) в августе, Facebook Messenger в ноябре и Google Duo в декабре 2020 Если вы используете любую из этих программ, убедитесь, что они актуальны .
Сильванович написала, что она также изучила Telegram и Viber, две другие широко используемые программы для шифрования сообщений, но не обнаружила проблем с подключением звонков без ведома приемника звонков. В ноябре 2018 она обнаружила подобный недостаток в версиях WhatsApp для Android и iOS, который был быстро исправлен.
Однако Сильванович отметила, что она рассматривала лишь функции вызова один на один.
"Я не рассматривала никаких функций группового звонка в этих приложениях", - написала она. "Это область для будущей работы, которая может выявить дополнительные проблемы".
Исследование Сильванович к этим приложениям обмена сообщениями вытекает из подобного недостатка в Apple FaceTime на iOS и macOS, который был обнаружен в январе 2019 года.
"Уязвимость заключалась в логической ошибке в автомате вызова FaceTime" - части программы, которая определяет, подключен вызов или нет. Ее можно было осуществить, используя только пользовательский интерфейс устройства ", - написал Сильванович.
"Тот факт, что произошла такая серьезная и легкодоступная уязвимость, - добавила она, - заставила меня задуматься, были в других мессенджерах подобные уязвимости".
Проблемы с Android и iOS
Сильванович сосредоточилась на программах Android именно в этом конкретном случае, вероятно, потому, что их код легче изучить, чем программы iOS. Но, как показывают экземпляры FaceTime, WhatsApp и Signal, программы обмена сообщениями iOS не защищены от этих недостатков.
Один пользователь Twitter, спросил почему она не проверила зашифрованный мессенджер Threema, который преимущественно используется немецкоязычными. Сильванович ответила, что "я рассматривала приложения с десятимиллионной инсталляцией в Google Play, которые принимают входящие звонки".
Не забудьте підписатися на нашого Головного Редактора в Instagram, або ж на нашу офіційну сторінку в Facebook, канал в Telegram та в Twitter. Також стежте за нами в Google News.
