Уязвимости, обнаруженные в нескольких мобильных приложениях для видеоконференцсвязи, позволяли злоумышленникам прослушивать пользователей еще до снятия трубки.
Логические уязвимости в мессенджерах Signal, Google Duo, Facebook Messenger, JioChat и Mocha обнаружила исследователь безопасности Google Project Zero Наталья Сильванович. Все ошибки уже исправлены. Однако до исправления они позволяли передавать звук с устройств жертв на устройства злоумышленников без выполнения кода.
«Я изучила сигналы конечного автомата семи приложений для видеоконференцсвязи и обнаружила пять уязвимостей, которые позволяли вызывающему устройству заставить вызываемое устройство передавать аудио- или видеоданные, — рассказала Сильванович. — Теоретически, получить согласие вызываемого абонента на передачу аудио или видео просто – дождаться, когда абонент примет вызов, прежде чем добавлять какие-либо треки к одноранговому соединению. Однако, когда я изучила реальные приложения, я обнаружила, что они обеспечивали передачу данных разными способами. Большинство из них приводило к появлению уязвимостей, позволяющих выполнять вызовы без взаимодействия с вызываемым».
Как сообщила Сильванович, уязвимость в Signal, исправленная в сентябре 2019 года, позволяла соединять аудиозвонки при помощи отправки сообщения с вызывающего устройства вызываемому без взаимодействия с пользователем. Уязвимость состояния гонки (race condition, неопределенность параллелизма) в Google Duo, которая была исправлена в декабре 2020 года, позволяла вызываемому устройству отправлять вызывающему устройству пакеты видеоданных до ответа на звонок. Уязвимость в Facebook Messenger позволяла соединять аудиозвонки до ответа вызываемого, была исправлена в ноябре 2020 года.
Две похожие уязвимости также были обнаружены в мессенджерах JioChat и Mocha в июле 2020 года. Эти ошибки позволяли отправлять аудио в JioChat и аудио/видео в Mocha без согласия пользователя. Уязвимости были исправлены в июле и августе 2020 года соответственно.
Сильванович также исследовала другие мессенджеры с функцией видеоконференцсвязи, включая Telegram и Viber, но не обнаружила в них подобных проблем.
«В большинстве исследованных мной приложениях были логические уязвимости, которые позволяли передавать аудио- или видеоконтент от вызываемого к вызывающему без согласия вызываемого. Также важно отметить, что я не изучала функции групповых вызовов этих приложений; все обнаруженные уязвимости были обнаружены в одноранговых вызовах. Это область для будущей работы», — заключила исследователь.
Ранее Сильванович также обнаружила критическую уязвимость в WhatsApp, которая могла вызвать сбой при ответе на звонок.
