信号中的错误,其他视频聊天应用程序允许攻击者侦听用户

若干消息/视频聊天移动应用程序中的错误允许攻击者在目标用户身上间谍’周围的环境。漏洞–在信号,谷歌二重奏,Facebook Messenger,Jiochat和Mocha–可以通过简单地呼叫对目标来触发’s device –不需要其他行动。

错误视频聊天应用程序

在视频聊天应用中搜索错误

2019年初,Apple在其组的FaceTime功能中修正了一个主要的逻辑错误(CVE-2019-6223)。错误, 发现 由Tucson High-Ghineer,将允许组FaceTime呼叫的发起者侦听目标设备中发生的内容’即使目标也没有,周围环境’t pick up the call.

“虽然这个错误很快得到了解决问题,但由于呼叫状态机中的逻辑错误,发生了如此严肃且易于到达的脆弱性的事实–我从未见过任何平台的攻击情景–让我想知道其他国家机器是否具有相似的漏洞,”该谷歌项目Zero Researcher Natalie Silvanovich表示。

因此,她决定检查其他流行的消息传递平台是否具有视频会议功能的运动相似漏洞,并且她发现了一些信号信使,谷歌二重奏,Facebook Messenger,Jiochat和Mocha。

“有一些其他应用程序,我看着并没有发现他们的州机器问题,” Silvanovich 共享.

“我在2020年8月期间看电报,在视频会议添加到申请之后。我没有发现任何问题,很大程度上是因为申请不会交换优惠,答案或候选人,直到被召唤回答。我在2020年11月看Viber,并没有发现他们的州机器有任何问题,尽管挑战逆向工程,应用程序使该分析比我看的其他应用程序更严格。”

可能仍未发现类似的错误

这些漏洞的根源有所不同,但所有人都允许呼叫者听到Callee的周围环境(甚至看到它们)。

Silvanovich还指出,这些漏洞在点对点呼叫中被发现,并且这些应用程序的组呼叫特征中的调查可能会揭示他人。

“尚不清楚为什么这是如此常见问题,但缺乏对这些类型的错误以及信令状态机器的不必要复杂性可能是一个因素,” she added.

所有漏洞都是负责任地报告给应用程序制造商,并已修复。

分享这个