Facebook Messenger、Signal、Google Duo、Mocha 或 JioChat……這些即時通訊服務有嚴重的安全漏洞,甚至在用戶接聽電話之前就可以監聽用戶的聲音。谷歌零號計畫研究人員揭示了這些漏洞。
電腦安全研究員,來自Google零號計劃在 Facebook Messenger、Google Duo 或 Signal 等多個即時通訊應用程式上發現了一系列嚴重的安全漏洞。 “我發現了五個行動應用程式(包括 Signal、Google Duo 和 Facebook Messenger)上存在允許在未經用戶同意的情況下傳輸音訊和視訊的錯誤。娜塔莉·西爾萬諾維奇在推特上寫道。
一切從一開始2019 年發現的 FaceTime 影片錯誤。記住,這個缺陷允許駭客監視 iPhone 用戶,而無需他們接電話。此外,攻擊者還能夠在用戶不知情的情況下查看選項選單並將自己添加到群組對話中。
另請閱讀:Android – 一個安全漏洞可以讓你監視你的所有通話
如果在其他應用程式中發現 FaceTime 視訊缺陷怎麼辦?
在這件事引發爭議之後,Natacha Silvanovich 只是想知道是否有可能在其他即時通訊服務上找到類似的缺陷。經過幾個月的深入分析,電腦安全研究人員實際上發現了多個此類漏洞Signal、JioChat、Mocha、Facebook Messenger 甚至 Google Duo。以下是這些缺陷所允許的詳細資訊:
- 訊號:Signal Android 應用程式中的一個缺陷允許攻擊者聽到接收者的環境
- JioChat 和 Mocha:攻擊者有可能在未經用戶同意的情況下強制目標裝置發送音訊和視訊串流。此漏洞源自於以下事實:點對點連線在接收者應答呼叫之前就已建立
- 臉書信使:連接到應用程式的攻擊者有可能同時啟動呼叫並向連接到行動應用程式和其他媒體(例如 Web 版本的 Messenger)的目標發送損壞的訊息,並接收“被叫設備的音訊”
- 谷歌雙核:視訊停用和連接建立之間的競爭情況(編者註:這種情況的特徵是根據 IT 系統參與者行動的順序而產生不同的結果),在某些情況下可能會導致多次未接來電後視訊資料包洩漏
正如娜塔莉·西爾萬諾維奇所解釋的那樣,所有這些缺陷均已由這些應用程式的相應開發人員修復。 Signal 在 2019 年 6 月解決了這個問題,JioChat 和 Mocha 在 2020 年夏天解決了這個問題,而 Facebook 和 Google 在 2020 年底解決了 Messenger 和 Google Duo 上的問題。
來源 :Google零號計劃
