Shadow

La vulnerabilità zero day in Facebook, Signal e Google Duo consente agli aggressori di spiare gli utenti

Più applicazioni mobili di videoconferenza sono state rilevate con una vulnerabilità che consente agli aggressori di ascoltare l’ambiente circostante degli utenti prima che l’altra persona rispondesse alla chiamata.

Natalie Silvanovich è la ricercatrice che ha scoperto per prima questa vulnerabilità zero day nelle app di messaggistica Signal, Google Duo, Facebook Messenger, JioChat e Mocha.

 Silvanovich ha spiegato: “Ho esaminato le macchine a stati di segnalazione di sette applicazioni di videoconferenza e ho scoperto cinque vulnerabilità che potrebbero consentire a un dispositivo chiamante di forzare un dispositivo chiamato a trasmettere dati audio o video.

“In teoria, garantire il consenso del chiamato prima della trasmissione audio o video dovrebbe essere una questione abbastanza semplice di aspettare fino a quando l’utente accetta la chiamata prima di aggiungere qualsiasi traccia alla connessione peer.

“Tuttavia, quando ho esaminato le applicazioni reali, hanno consentito la trasmissione in molti modi diversi. La maggior parte di questi ha portato a vulnerabilità che hanno permesso di connettere le chiamate senza interazione da parte del chiamato”.

Come sivanovich ha rivelato la loro scoperta, Signal è arrivato con la correzione di bug a settembre 2020 e ha permesso agli utenti di connettere la chiamata audio inviando il messaggio di connessione dai dispositivi chiamanti al chiamato uno invece che altro in giro.

Facebook ha risolto il bug nel novembre 2020 e Google Duo è prossimo a correggere il bug nel dicembre 2020. La falla con Facebook Messenger ha consentito agli aggressori di connettersi alle chiamate audio prima di connettersi. In Google Duo, la condizione consentiva ai chiamati di far trapelare pacchetti video da una chiamata senza risposta al chiamante.

Silvanovich ha cercato bug simili su altre app di videoconferenza come Telegram e VIber, ma non ha trovato alcun problema di questo tipo.

“La maggior parte delle macchine a stati chiamanti che ho esaminato presentava vulnerabilità logiche che consentivano la trasmissione di contenuti audio o video dal chiamato al chiamante senza il consenso del chiamato”,

“È anche preoccupante notare che non ho esaminato le funzionalità di chiamata di gruppo di queste applicazioni e tutte le vulnerabilità segnalate sono state trovate nelle chiamate peer-to-peer. Questa è un’area di lavoro futuro che potrebbe rivelare ulteriori problemi”, disse Silvanovic.