Дослідник David Wells із компанії Tenable виявив уразливість (CVE-2020-5753) в захищеному месенджері Signal, експлуатація якої дозволяє зловмисникові відстежувати місце розташування користувача.
Для відстеження переміщення користувача злочинцеві достатньо просто здійснити дзвінок у месенджері Signal. За словами дослідника, якщо два користувача Signal додали один одного в контакти, вони можуть визначити місце розташування і IP-адресу один одного шляхом простого дзвінка, навіть якщо користувач не відповідає на дзвінок. Однак навіть якщо особи немає в списку контактів, усе одно може визначити приблизне місце розташування користувача, просто зателефонувавши в месенджері.
“Суть проблеми в тому, що користувачі виявляються безпорадними перед подібним методом”, – зазначив фахівець.
Signal використовує власний форк WebRTC для здійснення дзвінків. Як захисний засіб програма не надсилає публічну/закриту IP-адресу в разі, якщо користувач отримує дзвінок від абонента, що не знаходиться в списку контактів. Крім того, при бажанні користувач може приховати IP-адресу, вибравши відповідну опцію. Замість IP-адреси користувача Signal відправить IP-адресу найближчого Signal TURN сервера.
Весь процес відбувається до того, як користувач відповість на дзвінок і, як з’ясував дослідник, це можливо використовувати для того, щоб дізнатися деяку інформацію про абонента, навіть якщо він приховав свою IP-адресу. Проблема зачіпає версії Signal 4.59.0 і старше для Android і версію Signal 3.8.0.34 для iOS.
Розробники Signal вже випустили виправлення для уразливості і оновлені версії месенджера доступні в магазинах Google Play Store і Apple App Store.