Des bogues dans les applications de chat Signal, Facebook et Google permettent aux attaquants d'espionner les utilisateurs

  • Principal
  • Nouvelles
  • Des bogues dans les applications de chat Signal, Facebook et Google permettent aux attaquants d'espionner les utilisateurs

Des bogues dans les applications de chat Signal, Facebook et Google permettent aux attaquants d'espionner les utilisateurs

Les vulnérabilités trouvées dans plusieurs applications de visioconférence mobiles permettaient aux attaquants d'écouter l'environnement des utilisateurs sans autorisation avant que la personne à l'autre bout ne réponde aux appels.

Des bogues ont été trouvés dans les applications de messagerie Signal, Google Duo, Facebook Messenger, JioChat et Mocha et ont maintenant été corrigés.

Cependant, avant qu'ils ne soient corrigés, ils permettaient de forcer des appareils spécifiques à diffuser de l'audio sur les appareils des attaquants sans avoir besoin d'exécuter du code.

'J'ai étudié les machines d'état de signalisation de sept applications de visioconférence et j'ai trouvé cinq vulnérabilités qui pourraient permettre à un appareil appelant de forcer un appareil appelé à transmettre des données audio ou vidéo', explique Natalie Silvanovich, chercheuse en sécurité chez Google Project Zero. .

«En théorie, accorder le consentement de l'appelant avant de diffuser de l'audio ou de la vidéo devrait être une question assez simple d'attendre que l'utilisateur accepte l'appel avant d'ajouter des pistes à la connexion peer-to-peer.

'Cependant, lorsque j'ai regardé les applications réelles, elles permettaient le streaming de différentes manières. La plupart d'entre eux entraînaient des vulnérabilités qui permettaient aux appels de se connecter sans interaction avec le destinataire.

Comme l'a révélé Silvanovic, un erreur de signalisation patché en septembre 2019 permettait de connecter l'appel audio en envoyant le message de connexion des appareils appelants à l'appelé au lieu de l'inverse, sans interaction de l'utilisateur.

la Bogue Google Duo , une condition de concurrence qui permettait aux appelés de divulguer des paquets vidéo d'appels manqués à l'appelant, a été résolue en décembre 2020, tandis que le Défaut de Facebook Messenger (précédemment couvert par BleepingComputer ici) qui permettait aux appels audio de se connecter avant que l'appel ne soit répondu en novembre 2020.

Deux vulnérabilités similaires ont été découvertes dans les messagers JioChat et Mocha en juillet 2020, des bugs qui ont permis cela envoi d'audio JioChat (fixé en juillet 2020) et un envoyer de l'audio et de la vidéo Moka (résolu en août 2020) après exploitation, sans le consentement de l'utilisateur.

Silvanovich a également recherché des bogues similaires dans d'autres applications de visioconférence, notamment Telegram et Viber, mais n'a trouvé aucun problème.

'La plupart des machines d'état d'appel que j'ai examinées présentaient des vulnérabilités logiques qui permettaient de transmettre du contenu audio ou vidéo d'une personne à une autre sans le consentement de l'appelant', a déclaré Silvanovich. Additionnel .

'Il est également préoccupant de noter que je n'ai pas analysé les fonctionnalités d'appel de groupe de ces applications et que toutes les vulnérabilités signalées ont été trouvées dans les appels peer-to-peer. Il s'agit d'un futur espace de travail qui pourrait révéler d'autres problèmes.

Silvanovich a également découvert une vulnérabilité critique dans l'application de messagerie mobile WhatsApp qui aurait pu être déclenchée simplement par un utilisateur répondant à un appel pour geler complètement ou compromettre l'application.

Qu'est-ce que tu penses?