Пользователей Signal можно было найти по звонку через приложение

Исследователь Дэвид Уэллс из Tenable обнаружил уязвимость в мессенджере Signal, эксплуатация которой позволяла отслеживать геолокацию пользователя.

Для этого достаточно было осуществить звонок в мессенджере – если два пользователя Signal добавили друг друга в «Контакты», они могли определить местоположение и IP-адрес друг друга, даже если пользователь не отвечал на звонок. Но даже если звонящего не было в списке контактов, он все равно мог определить приблизительную локацию пользователя, просто позвонив через мессенджер.

«Суть проблемы в том, что пользователи оказываются беспомощными перед подобным методом», – отметил специалист.

Для звонков Signal использует собственный форк WebRTC. В качестве защитной меры мессенджер не отправляет публичный/закрытый IP-адрес в случае, если пользователь получает звонок от абонента не из списка контактов. При желании пользователь даже может скрыть публичный/закрытый IP-адрес, выбрав соответствующую опцию. Вместо IP-адреса пользователя Signal отправит IP-адреса ближайшего Signal TURN сервера.

Весь процесс происходит до того, как пользователь ответит на звонок и, как выяснил Уэллс, это возможно использовать для того, чтобы узнать некоторую информацию о звонящем, даже если он скрыл свой IP-адрес. Проблема затрагивает версии Signal 4.59.0 и старше для Android и версию Signal 3.8.0.34 для iOS.

Разработчики мессенджера уже выпустили исправленные версии.

22 мая, 2020

Подписаться на новости BIS Journal / Медиа группы Авангард

Подписаться
Введите ваш E-mail

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных

17.09.2025
«Наша задача — обеспечить максимальное удобство и простоту при работе с почтой»
17.09.2025
К 2028 году — выплаты цифровым рублём, универсальный QR-код, биометрические транзакции
17.09.2025
Природа Камчатки киберочистится на четверо суток
17.09.2025
Синтез информационной безопасности и кооперации в новом формате — конференция Coop Days IV
17.09.2025
Госдеп даёт 11 млн долларов за поимку украинского хакера
17.09.2025
ИИ Microsoft захватывает Европу
17.09.2025
KillSec атаковал бразильского поставщика ИТ-решений для здравоохранения
16.09.2025
Max и «Магнит» тестируют «Цифровой ID»
16.09.2025
Образовательные учреждения стали меньше платить вымогателям
16.09.2025
ЦБТ: «Биометрический» курьер несёт ответственность вплоть до уголовной

Стать автором BIS Journal

Поля, обозначенные звездочкой, обязательные для заполнения!

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных