Signal、FB Messenger、Google Duo 等通訊軟體藏漏洞可竊聽遠端用戶
Google Project Zero 安全研究人員 Natalie Silvanovich,發現多款視訊 App 中,竟有可在對方尚未接聽前就收到用戶聲音或影像的漏洞。所幸這些 App 廠商皆已修補了漏洞。
研究人員發現,包括 Signal、Google Duo、Facebook Messenger、JioChat 和 Mocha 的邏輯漏洞,能迫使受害用戶接起電話前,將裝置聲音傳送到攻擊者裝置上,而且無需執行任何程式碼。
不必接通 軟體背後自動接電話
Silvanovich 研究了 7 款視訊 App 的訊令狀態機 (signaling state machine),發現 5 項 App 有漏洞可讓發話端裝置迫使受話端裝置傳送聲音或影像資料。理論上,應該是在用戶接受通訊請求,表示已經同意後,才能在兩端連線之間加入音/視訊軌,以傳輸聲音或影像。但是她發現市面 App 以不同方法來執行影音傳輸,大部情況下會導致漏洞,使可在受話方做出互動前就建立影音通訊連線。
Silvanovich 指出,Signal 的漏洞可讓發話方傳送一則訊息來建立(未獲對方同意的)語音通話,不過它在 2019 年 9 月就修補了個漏洞。臉書 Facebook Messenger 的類似漏洞是在 2020 年 11 月修補。Google Duo 則是出現競爭條件 (race condition) 漏洞,可導致受話方從未接聽的電話中送出影像封包給發話方,Google 去年 12 月將之修補。
此外 JioChat 和 Mocha Messenger 分別可自動傳送受話方聲音,以及影/音訊息給發話方,兩者都在去年 7 月修補。
研究人員也檢視了 Telegram 和 Viber,不過未發現問題。不過這項研究都只討論到一對一的通話,研究人員並未檢查群組通話功能。
Silvanovich 另外還發現 WhatsApp 一項重大漏洞,只要用戶一接起來電就會掛掉或造成 App 毁損。