Пользователей Signal можно было найти по звонку через приложение

Исследователь Дэвид Уэллс из Tenable обнаружил уязвимость в мессенджере Signal, эксплуатация которой позволяла отслеживать геолокацию пользователя.

Для этого достаточно было осуществить звонок в мессенджере – если два пользователя Signal добавили друг друга в «Контакты», они могли определить местоположение и IP-адрес друг друга, даже если пользователь не отвечал на звонок. Но даже если звонящего не было в списке контактов, он все равно мог определить приблизительную локацию пользователя, просто позвонив через мессенджер.

«Суть проблемы в том, что пользователи оказываются беспомощными перед подобным методом», – отметил специалист.

Для звонков Signal использует собственный форк WebRTC. В качестве защитной меры мессенджер не отправляет публичный/закрытый IP-адрес в случае, если пользователь получает звонок от абонента не из списка контактов. При желании пользователь даже может скрыть публичный/закрытый IP-адрес, выбрав соответствующую опцию. Вместо IP-адреса пользователя Signal отправит IP-адреса ближайшего Signal TURN сервера.

Весь процесс происходит до того, как пользователь ответит на звонок и, как выяснил Уэллс, это возможно использовать для того, чтобы узнать некоторую информацию о звонящем, даже если он скрыл свой IP-адрес. Проблема затрагивает версии Signal 4.59.0 и старше для Android и версию Signal 3.8.0.34 для iOS.

Разработчики мессенджера уже выпустили исправленные версии.

22 мая, 2020

Подписаться на новости BIS Journal / Медиа группы Авангард

Подписаться
Введите ваш E-mail

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных

15.07.2025
ИБ-платформа Security Vision вошла в реестр ГосСОПКА
15.07.2025
«ИИ попросту не может заменить ценную человеческую экспертизу»
15.07.2025
Кибермошенники вовсю используют авиаповестку
15.07.2025
К национальному мессенджеру — национальный скам-фильтр?
15.07.2025
Positive Technologies провели ремонт своей «Хакбазы»
14.07.2025
19% предприятий запустило системную автоматизацию после 2022 года
14.07.2025
Только 6% осужденных по ИКТ-статьям получает реальный срок
14.07.2025
LLM-система МТС экономит «десятки миллионов рублей»
14.07.2025
Решения Servicepipe позволят Innostage комплексно защитить клиентов от DDoS, ботов и других автоматизированных L3-L7 атак
14.07.2025
PT: ИБ-игроки должны научиться дополнять друг друга

Стать автором BIS Journal

Поля, обозначенные звездочкой, обязательные для заполнения!

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных