Signal

Сотрудница Google Project Zero Натали Сильванович обнаружила в мессенджере Signal уязвимость, позволяющую злоумышленнику удалённо получить доступ к микрофону и камере смартфона.

Атакующий может использовать модифицированную версию Signal, чтобы инициировать голосовой или видеовызов, а затем нажать на кнопку Mute в своём приложении, чтобы принять вызов на стороне вызываемого абонента и прослушивать жертву через её смартфон или подглядывать за ней.

Чем быстрее злоумышленник нажмёт на Mute, тем быстрее звонок сбросится на стороне жертвы и тем выше вероятность, что слежка останется незамеченной. Впрочем, заподозрить неладное всё равно можно, ведь во время соединения вызов будет отображаться на экране, а звонок сохранится в истории приложения.

Проблема актуальна для Android-версии Signal. У клиента для iOS она тоже присутствует, но эксплуатировать её не удаётся из-за ошибки в интерфейсе приложения. Разработчики Signal выпустили обновлённую версию приложения для Android — 4.47.7, в ней проблема закрыта. Примечательно, что подобная уязвимость недолгое время присутствовала в FaceTime и была устранена компанией Apple в начале 2019 года.

Signal считается одним из самых защищённых и безопасных мессенджеров. Его хвалил беглый сотрудник американских спецслужб Эдвард Сноуден, который скрывается в России и недавно выпустил книгу с мемуарами.



iGuides в Telegram — t.me/igmedia
iGuides в Яндекс.Дзен — zen.yandex.ru/iguides.ru
У нас есть подкаст и его видео-версия



Источник:

Google Google