Facebook Messenger、Signal、Google Duo、Mocha 或 JioChat……这些即时通讯服务存在严重的安全漏洞,甚至在用户接听电话之前就可以监听用户的声音。谷歌零号项目研究人员揭示了这些漏洞。
计算机安全研究员,来自谷歌零号计划在 Facebook Messenger、Google Duo 或 Signal 等多个即时通讯应用程序上发现了一系列严重的安全漏洞。 “我发现了五个移动应用程序(包括 Signal、Google Duo 和 Facebook Messenger)上存在允许在未经用户同意的情况下传输音频和视频的错误。娜塔莉·西尔万诺维奇在推特上写道。
一切从一开始2019 年发现的 FaceTime 视频错误。记住,这个缺陷允许黑客监视 iPhone 用户,而无需他们接电话。此外,攻击者还能够在用户不知情的情况下查看选项菜单并将自己添加到群组对话中。
另请阅读:Android – 一个安全漏洞可以让你监视你的所有通话
如果在其他应用程序中发现 FaceTime 视频缺陷怎么办?
在这件事引发争议之后,Natacha Silvanovich 只是想知道是否有可能在其他即时通讯服务上找到类似的缺陷。经过几个月的深入分析,计算机安全研究人员实际上发现了多个此类漏洞Signal、JioChat、Mocha、Facebook Messenger 甚至 Google Duo。以下是这些缺陷所允许的详细信息:
- 信号:Signal Android 应用程序中的一个缺陷允许攻击者听到接收者的环境
- JioChat 和 Mocha:攻击者有可能在未经用户同意的情况下强制目标设备发送音频和视频流。此漏洞源于以下事实:点对点连接在接收者应答呼叫之前就已建立
- 脸书信使:连接到应用程序的攻击者有可能同时启动呼叫并向连接到移动应用程序和其他媒体(例如 Web 版本的 Messenger)的目标发送损坏的消息,并接收“被叫设备的音频”
- 谷歌双核:视频停用和连接建立之间的竞争情况(编者注:这种情况的特征是根据 IT 系统参与者行动的顺序而产生不同的结果),在某些情况下可能会导致多次未接来电后视频数据包泄漏
正如娜塔莉·西尔万诺维奇解释的那样,所有这些缺陷均已由这些应用程序的相应开发人员修复。 Signal 在 2019 年 6 月解决了这个问题,JioChat 和 Mocha 在 2020 年夏天解决了这个问题,而 Facebook 和 Google 在 2020 年底解决了 Messenger 和 Google Duo 上的问题。
来源 :谷歌零号计划
