Signal, Google Duo, FB Messenger vulnerabilità permettono le intercettazioni
Buongiorno cari lettori, oggi parleremo delle vulnerabilità che permettono le intercettazioni.
Anche se ora è stata applicata una patch, se sfruttate, queste vulnerabilità rappresentavano una grave minaccia per la privacy e la sicurezza degli utenti.
Natalie Silvanovich, ricercatrice di Google Project Zero, ha rivelato vulnerabilità in diverse applicazioni di videoconferenza e messaggistica che potrebbero consentire agli utenti malintenzionati e agli attori della minaccia di origliare senza essere rilevati.
Le vulnerabilità permettevano agli aggressori di ascoltare l'ambiente della persona che chiamavano anche prima che la chiamata fosse raccolta. Vale la pena notare che i dettagli di questo particolare bug sono stati riportati anche il 20 novembre 2020 in Facebook Messenger.
Secondo Silvanovich, questi erano bug logici trovati in Google Duo, Signal, JioChat, Facebook Messenger e Mocha app di messaggistica.
"Ho studiato le macchine di stato di segnalazione di sette applicazioni di videoconferenza e ho trovato cinque vulnerabilità che potrebbero consentire a un dispositivo chiamante di forzare un dispositivo callee a trasmettere dati audio o video", ha scritto Silvanovich in un post sul blog.
Bug identificati nel 2019
Come riportato da Hackread.com, le vulnerabilità sono state scoperte nel gennaio 2019 nella funzione di chat di gruppo FaceTime di Apple e hanno permesso agli utenti di avviare una videochiamata FaceTime e spiare gli obiettivi semplicemente aggiungendo il loro numero come terza persona in una chat di gruppo prima che la persona accettasse la chiamata in arrivo.
La vulnerabilità era estremamente grave e Apple ha rimosso le funzioni di chat di gruppo da FaceTime fino a quando il problema è stato risolto in un aggiornamento di iOS. In seguito, vari bug simili sono stati scoperti nelle suddette app di chat.
Informazioni sui bug
Signal
Silvanovich ha rivelato che la vulnerabilità trovata nell'app Signal è stata patchata nel settembre 2019. Ha permesso agli aggressori di inviare il messaggio di connessione dal dispositivo chiamante al callee senza alcuna interazione dell'utente. In realtà dovrebbe essere il contrario.
Google Duo
Al contrario, il bug di Google Duo era una condizione di gara che consentiva ai callees di far trapelare pacchetti video di chiamate senza risposta al chiamante per collegare le chiamate audio prima che fosse risposto. È stato patchato nel novembre 2020.
Facebook Messenger
Il bug di Facebook Messenger potrebbe consentire a un utente malintenzionato di avviare una chiamata e inviare un messaggio personalizzato a qualsiasi obiettivo dopo l'accesso all'app. Il bersaglio, tuttavia, dovrebbe essere loggato sia al client Messenger che all'app, come il browser web per ricevere l'audio dal dispositivo del chiamante. Anche questo bug è stato risolto nel novembre 2020.
Mocha e JioChat
Due falle simili sono state identificate nei messenger Mocha e JioChat. I bug permettevano di inviare audio a JioChat e audio/video a Mocha. Entrambi sono stati corretti rispettivamente a luglio 2020 e agosto 2020.
È interessante notare che tutti questi bug sono stati scoperti nelle chiamate peer-to-peer e non nelle funzioni di chat di gruppo.
Conclusione:
Se stai usando un'app di messaggistica assicurati che sia aggiornata all'ultima versione, poiché gli aggiornamenti sono destinati a correggere bug e difetti che sono sconosciuti agli utenti ignari, ma un'opportunità redditizia per elementi maligni.
spero che questo articolo ti sia piaciuto, e ci vedremo ad un prossimo.
