Уразливості в безлічі мобільних додатків для спілкування через відео дозволяли зловмисникам без дозволу користувача прослуховувати навколишні звуки ще до того, як він візьме слухавку. Логічні уразливості в Signal, Google Duo, Facebook Messenger, JioChat і Mocha були виявлені дослідницею з Google Project ZeroNatalie Silvanovich і в цей час вже виправлені. Однак до виправлення вони дозволяли зловмисникам передавати аудіо на підконтрольні їм пристрої без необхідності виконувати код.
“Я вивчила сигнали семи додатків для відеоконференцій і виявила п’ять уразливостей, що дозволяють пристрою змусити набраний пристрій передавати аудіо. Теоретично, забезпечити згоду абонента на передачу аудіо або відео досить просто – перш ніж додавати будь-які треки в однорангове з’єднання, потрібно дочекатися, коли абонент прийме виклик. Однак, вивчивши реальні програми, я побачила, що вони різними способами дозволяли передачу даних. Більшість з них привело до появи уразливостей, що дозволяють з’єднувати виклики без взаємодії з набраним абонентом”, – пояснила Сільванович.
Як з’ясувала дослідниця, виправлена в вересні 2019 року вразливість в Signal дозволяла поєднувати аудіодзвінки шляхом відправки пристроєм повідомлення набраному пристрою без участі абонента, хоча повинно бути навпаки.
Уразливість невизначеності “race condition” в Google Duo дозволяла пристрою відправляти пакети даних до того, як абонент відповість на дзвінок. Проблема була виправлена в грудні 2020 року.
Уразливість в Facebook Messenger, яка давала можливість з’єднувати аудіодзвінки до того, як абонент зніме трубку, була виправлена в листопаді 2020 року.
Дві аналогічні уразливості також були виявлені в JioChat і Mocha в липні 2020 року. Баги дозволяли без відома користувача відправляти аудіо в JioChat (виправлено в липні 2020 року) і аудіо/відео в Mocha (виправлено в серпні 2020 року).
Сільванович перевірила інші месенджери (в тому числі Telegram і Viber) на предмет наявності в них вищеописаних уразливостей, але нічого не виявила.
Радимо звернути увагу на поради, про які писав Cybercalm, а саме:
Як використовувати “Швидкі команди” на Apple Watch? – ІНСТРУКЦІЯ
Як змінити обліковий запис Google за замовчуванням на комп’ютері? – ІНСТРУКЦІЯ
Як використовувати Google Duo для здійснення відеодзвінків? – ІНСТРУКЦІЯ
Як додавати, редагувати або видаляти збережені паролі в Microsoft Edge? – ІНСТРУКЦІЯ
Нагадаємо, американське розвідувальне співтовариство офіційно звинувачує російських хакерів у зламі SolarWinds. Підозрюють, що російські хакери, які фінансуються державою, зламали ІТ-компанію SolarWinds, яку вони потім використали як стартовий майданчик для проникнення в кілька урядових відомств США
Також дослідники з безпеки виявили нову родину програм-вимагачів, яка націлилася на корпоративні мережі, та попередили, що професійні кіберзлочинці вже вдарили по декількох організаціях за допомогою схеми шифрування файлів.
Окрім цього, браузер Edge буде постійно звіряти інформацію з базами даних про розсекречені логіни і паролі – користувачі отримуватимуть інформацію у разі виявлення діяльності з боку кібершахраїв. Також власникам пристроїв надаватимуть поради, що дозволяють змінити конфіденційні дані з метою збереження високого рівня безпеки.
За останніми даними, один із найбезпечніших месенджерів Signal набуває популярності як в Україні, так і в США. Навіть Ілон Маск підтримав хвилю популярності і порадив користуватися Signal у себе в Твіттері. У чому його переваги, читайте у статті.
