Пользователей Signal можно было найти по звонку через приложение

Исследователь Дэвид Уэллс из Tenable обнаружил уязвимость в мессенджере Signal, эксплуатация которой позволяла отслеживать геолокацию пользователя.

Для этого достаточно было осуществить звонок в мессенджере – если два пользователя Signal добавили друг друга в «Контакты», они могли определить местоположение и IP-адрес друг друга, даже если пользователь не отвечал на звонок. Но даже если звонящего не было в списке контактов, он все равно мог определить приблизительную локацию пользователя, просто позвонив через мессенджер.

«Суть проблемы в том, что пользователи оказываются беспомощными перед подобным методом», – отметил специалист.

Для звонков Signal использует собственный форк WebRTC. В качестве защитной меры мессенджер не отправляет публичный/закрытый IP-адрес в случае, если пользователь получает звонок от абонента не из списка контактов. При желании пользователь даже может скрыть публичный/закрытый IP-адрес, выбрав соответствующую опцию. Вместо IP-адреса пользователя Signal отправит IP-адреса ближайшего Signal TURN сервера.

Весь процесс происходит до того, как пользователь ответит на звонок и, как выяснил Уэллс, это возможно использовать для того, чтобы узнать некоторую информацию о звонящем, даже если он скрыл свой IP-адрес. Проблема затрагивает версии Signal 4.59.0 и старше для Android и версию Signal 3.8.0.34 для iOS.

Разработчики мессенджера уже выпустили исправленные версии.

22 мая, 2020

Подписаться на новости BIS Journal / Медиа группы Авангард

Подписаться
Введите ваш E-mail

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных

16.09.2025
Max и «Магнит» тестируют «Цифровой ID»
16.09.2025
Образовательные учреждения стали меньше платить вымогателям
16.09.2025
ЦБТ: «Биометрический» курьер несёт ответственность вплоть до уголовной
16.09.2025
InfoWatch: Предприятиям ТЭК удалось переломить негативную тенденцию
16.09.2025
ИИ сделает фишера из любого, если представиться исследователем
15.09.2025
Банк России — о необоснованной блокировке счетов физлиц
15.09.2025
С октября в банковских приложениях появится новая антифрод-ступень
15.09.2025
Массовые обзвоны без согласия абонентов запрещены (но не всем)
15.09.2025
CISA запускает дорожную карту программы «Общие уязвимости и риски»
15.09.2025
Пользователей ChatGPT с «типично женскими» никами стало больше, чем с «типично мужскими»

Стать автором BIS Journal

Поля, обозначенные звездочкой, обязательные для заполнения!

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных