信号中的错误,其他视频聊天应用程序使攻击者可以监听用户

多个消息传递/视频聊天移动应用程序中的错误使攻击者可以监视目标用户’的环境。漏洞–在Signal,Google Duo,Facebook Messenger,JioChat和Mocha中–只需向目标拨打电话即可触发’s device –无需其他操作。

错误的视频聊天应用

搜索视频聊天应用程序中的错误

在2019年初,Apple修复了其Group FaceTime功能中的一个主要逻辑错误(CVE-2019-6223)。错误, 发现 由Tucson高中生使用,可以允许FaceTime通话的发起者监听目标设备中发生的事情’即使目标没有’t pick up the call.

“尽管此错误很快得到修复,但由于调用状态机中存在逻辑错误,所以发生了这样一个严重且容易达到的漏洞–我从未在任何平台上考虑过的攻击场景–让我想知道其他状态机是否也有类似的漏洞,”Google Project Zero的研究人员Natalie Silvanovich说。

因此,她决定检查其他具有视频会议功能的流行消息平台是否也存在类似漏洞,并且在Signal Messenger,Google Duo,Facebook Messenger,JioChat和Mocha中找到了一些漏洞。

“我查看了其他一些应用程序,但发现它们的状态机没有问题,” Silvanovich 共享.

“在将视频会议添加到应用程序之后,我在2020年8月查看了Telegram。我没有发现任何问题,主要是因为在被叫方应答呼叫之前,应用程序不会交换要约,应答或候选对象。我在2020年11月查看了Viber,并没有发现他们的状态机有任何问题,尽管对逆向工程的挑战使该应用程序比我所研究的其他应用程序更加严格。”

可能仍会发现类似的错误

这些漏洞的根源不同,但是所有漏洞都允许呼叫者听到被呼叫者的周围环境(甚至看到它们)。

Silvanovich还指出,这些漏洞是在点对点呼叫中发现的,对这些应用程序的群呼功能的调查可能会发现其他漏洞。

“目前尚不清楚为什么这是一个普遍的问题,但是缺乏对这些类型的错误的意识以及信号状态机不必要的复杂性可能是一个原因,” she added.

所有漏洞均已以负责任的方式报告给应用程序制造商,并已得到修复。

分享这个