Исследователь Дэвид Уэллс из Tenable обнаружил уязвимость в мессенджере Signal, эксплуатация которой позволяла отслеживать геолокацию пользователя.
Для этого достаточно было осуществить звонок в мессенджере – если два пользователя Signal добавили друг друга в «Контакты», они могли определить местоположение и IP-адрес друг друга, даже если пользователь не отвечал на звонок. Но даже если звонящего не было в списке контактов, он все равно мог определить приблизительную локацию пользователя, просто позвонив через мессенджер.
«Суть проблемы в том, что пользователи оказываются беспомощными перед подобным методом», – отметил специалист.
Для звонков Signal использует собственный форк WebRTC. В качестве защитной меры мессенджер не отправляет публичный/закрытый IP-адрес в случае, если пользователь получает звонок от абонента не из списка контактов. При желании пользователь даже может скрыть публичный/закрытый IP-адрес, выбрав соответствующую опцию. Вместо IP-адреса пользователя Signal отправит IP-адреса ближайшего Signal TURN сервера.
Весь процесс происходит до того, как пользователь ответит на звонок и, как выяснил Уэллс, это возможно использовать для того, чтобы узнать некоторую информацию о звонящем, даже если он скрыл свой IP-адрес. Проблема затрагивает версии Signal 4.59.0 и старше для Android и версию Signal 3.8.0.34 для iOS.
Разработчики мессенджера уже выпустили исправленные версии.
