Уразливості в безлічі мобільних додатків для спілкування через відео дозволяли зловмисникам без дозволу користувача прослуховувати навколишні звуки ще до того, як він візьме слухавку. Логічні уразливості в Signal, Google Duo, Facebook Messenger, JioChat і Mocha були виявлені дослідницею з Google Project ZeroNatalie Silvanovich і в цей час вже виправлені. Однак до виправлення вони дозволяли зловмисникам передавати аудіо на підконтрольні їм пристрої без необхідності виконувати код.

“Я вивчила сигнали семи додатків для відеоконференцій і виявила п’ять уразливостей, що дозволяють пристрою змусити набраний пристрій передавати аудіо. Теоретично, забезпечити згоду абонента на передачу аудіо або відео досить просто – перш ніж додавати будь-які треки в однорангове з’єднання, потрібно дочекатися, коли абонент прийме виклик. Однак, вивчивши реальні програми, я побачила, що вони різними способами дозволяли передачу даних. Більшість з них привело до появи уразливостей, що дозволяють з’єднувати виклики без взаємодії з набраним абонентом”, – пояснила Сільванович.

Як з’ясувала дослідниця, виправлена ​​в вересні 2019 року вразливість в Signal дозволяла поєднувати аудіодзвінки шляхом відправки пристроєм повідомлення набраному пристрою без участі абонента, хоча повинно бути навпаки.

Уразливість невизначеності “race condition” в Google Duo дозволяла пристрою відправляти пакети даних до того, як абонент відповість на дзвінок. Проблема була виправлена ​​в грудні 2020 року.

Уразливість в Facebook Messenger, яка давала можливість з’єднувати аудіодзвінки до того, як абонент зніме трубку, була виправлена ​​в листопаді 2020 року.

Дві аналогічні уразливості також були виявлені в JioChat і Mocha в липні 2020 року. Баги дозволяли без відома користувача відправляти аудіо в JioChat (виправлено в липні 2020 року) і аудіо/відео в Mocha (виправлено в серпні 2020 року).

Сільванович перевірила інші месенджери (в тому числі Telegram і Viber) на предмет наявності в них вищеописаних уразливостей, але нічого не виявила.

Радимо звернути увагу на поради, про які писав Cybercalm, а саме:

Як використовувати “Швидкі команди” на Apple Watch? – ІНСТРУКЦІЯ

Як змінити обліковий запис Google за замовчуванням на комп’ютері? – ІНСТРУКЦІЯ

Як використовувати Google Duo для здійснення відеодзвінків? – ІНСТРУКЦІЯ

Як додавати, редагувати або видаляти збережені паролі в Microsoft Edge? – ІНСТРУКЦІЯ

Як швидко очистити всі сповіщення на Mac? ІНСТРУКЦІЯ

Нагадаємо, американське розвідувальне співтовариство офіційно звинувачує російських хакерів у зламі SolarWinds. Підозрюють, що російські хакери, які фінансуються державою, зламали ІТ-компанію SolarWinds, яку вони потім використали як стартовий майданчик для проникнення в кілька урядових відомств США

Також дослідники з безпеки виявили нову родину програм-вимагачів, яка націлилася на корпоративні мережі, та попередили, що професійні кіберзлочинці вже вдарили по декількох організаціях за допомогою схеми шифрування файлів.

Окрім цього, браузер Edge буде постійно звіряти інформацію з базами даних про розсекречені логіни і паролі – користувачі отримуватимуть інформацію у разі виявлення діяльності з боку кібершахраїв. Також власникам пристроїв надаватимуть поради, що дозволяють змінити конфіденційні дані з метою збереження високого рівня безпеки.

За останніми даними, один із найбезпечніших месенджерів Signal набуває популярності як в Україні, так і в США. Навіть Ілон Маск підтримав хвилю популярності і порадив користуватися Signal у себе в Твіттері. У чому його переваги, читайте у статті.