Signal、FB Messenger、Google Duo等通訊軟體藏漏洞可竊聽遠端用戶
Google Project Zero安全研究人員Natalie Silvanovich,發現多款視訊App中,竟有可在對方尚未接聽前就收到用戶聲音或影像的漏洞。所幸這些App廠商皆已修補了漏洞。
研究人員發現,包括Signal、Google Duo、Facebook Messenger、JioChat和Mocha的邏輯漏洞,能迫使受害用戶接起電話前,將裝置聲音傳送到攻擊者裝置上,而且無需執行任何程式碼。
不必接通 軟體背後自動接電話
Silvanovich研究了7款視訊App的訊令狀態機(signaling state machine),發現5項App有漏洞可讓發話端裝置迫使受話端裝置傳送聲音或影像資料。理論上,應該是在用戶接受通訊請求,表示已經同意後,才能在兩端連線之間加入音/視訊軌,以傳輸聲音或影像。但是她發現市面App以不同方法來執行影音傳輸,大部情況下會導致漏洞,使可在受話方做出互動前就建立影音通訊連線。
Silvanovich指出,Signal的漏洞可讓發話方傳送一則訊息來建立(未獲對方同意的)語音通話,不過它在2019年9月就修補了個漏洞。臉書Facebook Messenger的類似漏洞是在2020年11月修補。Google Duo則是出現競爭條件(race condition)漏洞,可導致受話方從未接聽的電話中送出影像封包給發話方,Google去年12月將之修補。
此外JioChat和Mocha Messenger分別可自動傳送受話方聲音,以及影/音訊息給發話方,兩者都在去年7月修補。
研究人員也檢視了Telegram和Viber,不過未發現問題。不過這項研究都只討論到一對一的通話,研究人員並未檢查群組通話功能。
Silvanovich另外還發現WhatsApp一項重大漏洞,只要用戶一接起來電就會掛掉或造成App毁損。