这些天消息传递应用程序是非常重要的,因为人们仍然无法自由满足的人说话,是否对个人事情或工作/学校相关的东西,但根据安全研究员,一些我们正在使用的应用程序并不像我们想象的那样安全。
一个逻辑错误,允许攻击者发现了监视你。
发现的逻辑错误消息传递应用程序
在一个报告电脑发出哔哔声,谷歌Project Zero安全研究员纳塔莉亚Silvanovich发现漏洞在几个消息传递应用程序包括Facebook Messenger,信号,谷歌两人,摩卡,JioChat攻击者可以倾听他们的受害者的环境没有同意之前,接一个电话。
通过发现逻辑错误在这些消息服务,目标设备被迫接和传输音频,攻击者不需要任何代码。
“我调查了七个视频会议应用的信号状态机,发现五个漏洞可能允许调用者设备迫使被设备传输音频和视频数据,“Silvanovich解释道。“理论上,确保被同意音频或视频传输之前应该是一个相当简单的事等到用户接受叫之前添加任何跟踪同行联系。”
然而,安全研究人员说,当她看着应用,事实证明,这些类型的软件使传播“以不同的方式”。
读也:伪黑客:黑暗光环SolarWinds袭击的罪犯是突破口
修补漏洞
这些传输变化导致这些特定类型的漏洞,允许调用连接即使没有被同意。
我发现逻辑错误,允许音频或视频传播未经用户同意在5移动应用程序包括信号,两人和Facebook Messengerhttps://t.co/PlB0PzLzjJ
娜塔莉Silvanovich (@natashenka)2021年1月19日
如果您使用的是消息传递应用程序,确保你尽快更新它们你可以如果你还没有虫子以来固定和修补,避免这样的音频的传播可能被攻击者利用。
根据这份报告,JioChat和摩卡的消息传递应用程序的漏洞被发现在2020年7月,但是JioChat很快修复漏洞在2020年7月。
与此同时,摩卡固定于2020年8月的漏洞。
另一方面,谷歌两缺陷,允许调用者泄露视频数据包从一个悬而未决的目标设备,已经固定在2020年12月,Facebook Messenger缺陷是固定在2020年11月。
根据报告,信使错误显然允许音频电话连接,即使被还没有答案。
信号错误固定、电报、推出是安全的
信号错误,这是第一个被发现,2019年9月已经修补,所以这些天应该全部安全使用。
Silvanovich也检查两个受欢迎的消息传递应用程序:电报和推出,但无法找到任何类似的漏洞,所以你的电话保持安全的应用程序,这是一个好消息,因为大多数人都选择这些应用程序在WhatsApp隐私政策改变,因为他们认为更安全的和私人的应用程序。
尽可能定期更新您的应用程序,因为这些更新包括修复先前已知的漏洞,可以用来对付你,特别是当Silvanovich调用状态机的显示大部分她调查了相同的逻辑漏洞。
其余的报告可以在谷歌Project Zero的博客。
这篇文章是由科技时代万博体育登录首页
作者:Nhx Tingson
