С релизом версии 4.47.7 Signal для Android исчез баг, похожий на уязвимость, найденную в FaceTime в начале года. Из-за последнего Apple была вынуждена экстренно отключить групповые звонки FaceTime, позволял звонящему получить доступ к чужим микрофону и камере, даже если на звонок не ответили. Фактически уязвимость могла использоваться для подслушивания пользователей без их ведома.

Теперь аналогичная проблема была обнаружена в Signal для Android, но распространялась она только на голосовые вызовы, не затрагивая видеозвонки (так как камеру каждый раз нужно включать вручную). Уязвимость выявила специалистка Google Project Zero Натали Сильванович. Она пишет, что аналогичная логическая ошибке присутствует и в клиенте для iOS, но в этом случае вызов не удается осуществить из-за ошибки в UI.

В случае Android атакующий мог использовать модифицированную версию приложения Signal, чтобы инициировать вызов, а затем нажать на собственную кнопку «Mute», чтобы принять текущий вызов на стороне вызываемого абонента. Если злоумышленники успевает быстро нажать на кнопку отключения звука, атака может остаться почти незамеченной, так как это поможет избежать длинного звонка, который может оповестить жертву о происходящем.

Однако разработчики отмечают, что пользователь в любом случае мог увидеть видимые признаки того, что звонок был совершен: в верхней части списка завершенных вызовов останется запись о выполненном вызове, а непосредственно во время звонка на экране будет видно, что осуществляется вызов.

9 октября, 2019

Подписаться на новости BIS Journal / Медиа группы Авангард

Подписаться
Введите ваш E-mail

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных

10.07.2026
Китайские роботы захватывают российский рынок
10.07.2026
CISO опасаются, что топ-менеджеры не осознают все киберриски
10.07.2026
«ЮниКредит Банк» не оставляет попыток уйти из России
10.07.2026
ЕК взялась за страны, проигнорировавшие Директиву NIS2
10.07.2026
Аппарат правительства России свяжет ИИ с ЭДО
10.07.2026
Google сделает резервное копирование автоматическим
10.07.2026
NCSC собирается запустить ИИ-систему Cyber ​​Shield
09.07.2026
«Ключевой профиль применения LSTM в сотовых сетях — умное распределение ресурсов»
09.07.2026
Мосбиржа анонсировала ИИ-комплаенс
09.07.2026
Данные — топливо финтеха. Банкиры помогают россиянам с бензином

Стать автором BIS Journal

Поля, обозначенные звездочкой, обязательные для заполнения!

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных