Signal、FB Messenger、Google Duo等通訊軟體藏漏洞可竊聽遠端用戶

Google Project Zero安全研究人員Natalie Silvanovich,發現多款視訊App中,竟有可在對方尚未接聽前就收到用戶聲音或影像的漏洞。所幸這些App廠商皆已修補了漏洞。

Google Project Zero安全研究人員Natalie Silvanovich,發現多款視訊App中,竟有可在對方尚未接聽前就收到用戶聲音或影像的漏洞。所幸這些App廠商皆已修補了漏洞。

研究人員發現,包括Signal、Google Duo、Facebook Messenger、JioChat和Mocha的邏輯漏洞,能迫使受害用戶接起電話前,將裝置聲音傳送到攻擊者裝置上,而且無需執行任何程式碼。

不必接通   軟體背後自動接電話

Silvanovich研究了7款視訊App的訊令狀態機(signaling state machine),發現5項App有漏洞可讓發話端裝置迫使受話端裝置傳送聲音或影像資料。理論上,應該是在用戶接受通訊請求,表示已經同意後,才能在兩端連線之間加入音/視訊軌,以傳輸聲音或影像。但是她發現市面App以不同方法來執行影音傳輸,大部情況下會導致漏洞,使可在受話方做出互動前就建立影音通訊連線。

Silvanovich指出,Signal的漏洞可讓發話方傳送一則訊息來建立(未獲對方同意的)語音通話,不過它在2019年9月就修補了個漏洞。臉書Facebook Messenger的類似漏洞是在2020年11月修補。Google Duo則是出現競爭條件(race condition)漏洞,可導致受話方從未接聽的電話中送出影像封包給發話方,Google去年12月將之修補。

此外JioChat和Mocha Messenger分別可自動傳送受話方聲音,以及影/音訊息給發話方,兩者都在去年7月修補。

研究人員也檢視了Telegram和Viber,不過未發現問題。不過這項研究都只討論到一對一的通話,研究人員並未檢查群組通話功能。

Silvanovich另外還發現WhatsApp一項重大漏洞,只要用戶一接起來電就會掛掉或造成App毁損。

來源:Bleeping Computer

關於我們

自1990年創刊UXmaster雜誌,1991年獲得美國LAN Magazine獨家授權中文版,2006年獲得CMP Network Computing授權,2009年合併CMP Network Magazine獨家授權中文版,2014年轉型為《網路資訊》雜誌網站,為台灣中小企業協助技術領導者落實企業策略,了解網路規劃及應用,為企業網路應用、管理、MIS、IT人員必備之專業雜誌網站。


與我們聯絡

加入《網路資訊》雜誌社群

© Copyright 2017 本站版權所有,禁止任意轉載 網路資訊雜誌 / 心動傳媒股份有限公司 聯絡電話:+886 2 29432416