С релизом версии 4.47.7 Signal для Android исчез баг, похожий на уязвимость, найденную в FaceTime в начале года. Из-за последнего Apple была вынуждена экстренно отключить групповые звонки FaceTime, позволял звонящему получить доступ к чужим микрофону и камере, даже если на звонок не ответили. Фактически уязвимость могла использоваться для подслушивания пользователей без их ведома.

Теперь аналогичная проблема была обнаружена в Signal для Android, но распространялась она только на голосовые вызовы, не затрагивая видеозвонки (так как камеру каждый раз нужно включать вручную). Уязвимость выявила специалистка Google Project Zero Натали Сильванович. Она пишет, что аналогичная логическая ошибке присутствует и в клиенте для iOS, но в этом случае вызов не удается осуществить из-за ошибки в UI.

В случае Android атакующий мог использовать модифицированную версию приложения Signal, чтобы инициировать вызов, а затем нажать на собственную кнопку «Mute», чтобы принять текущий вызов на стороне вызываемого абонента. Если злоумышленники успевает быстро нажать на кнопку отключения звука, атака может остаться почти незамеченной, так как это поможет избежать длинного звонка, который может оповестить жертву о происходящем.

Однако разработчики отмечают, что пользователь в любом случае мог увидеть видимые признаки того, что звонок был совершен: в верхней части списка завершенных вызовов останется запись о выполненном вызове, а непосредственно во время звонка на экране будет видно, что осуществляется вызов.

9 октября, 2019

Подписаться на новости BIS Journal / Медиа группы Авангард

Подписаться
Введите ваш E-mail

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных

03.07.2025
В Госдуме продолжают намекать на преимущества импортозамещения
03.07.2025
Котята отрастили щупальца. Kraken целится в Apple издалека?
03.07.2025
DLBI: До конца года стилеры могут парализовать поиск «удалёнки» в РФ
03.07.2025
Международный уголовный суд подвергается атакам хакеров
03.07.2025
17% компаний выбирает ноутбуки с предустановленными отечественными ОС
02.07.2025
Сотрудникам Microsoft не уйти от использования ИИ. Как и всем остальным…
02.07.2025
Полицейские констатируют резкий рост киберпреступности в Африке
02.07.2025
Мнение: Один «суверенный» процессор обойдётся в 5 млрд рублей
02.07.2025
Количество атак ClickFix выросло шестикратно за полгода
02.07.2025
Мигранты в США играют с «таможенниками» в киберпрятки

Стать автором BIS Journal

Поля, обозначенные звездочкой, обязательные для заполнения!

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных