Facebook Messenger、Signal、Google Duo、Mocha、JioChat… これらのインスタント メッセージング サービスには重大なセキュリティ上の欠陥があり、そのためユーザーが電話に出る前から話を聞くことができました。 Google Project Zero の研究者はこれらの脆弱性を明らかにしました。
コンピュータセキュリティ研究者Google プロジェクト ゼロFacebook Messenger、Google Duo、Signal などのいくつかのインスタント メッセージング アプリケーションで一連の重大なセキュリティ上の欠陥を発見しました。 「Signal、Google Duo、Facebook Messenger を含む 5 つのモバイル アプリで、ユーザーの同意なしに音声とビデオが送信されるバグを発見しました。ナタリー・シルバノビッチはツイッターにこう書いている。
すべては一つから始まる2019 年に発見された FaceTime ビデオのバグ。覚えて、この欠陥により、ハッカーは iPhone ユーザーを盗聴することができました。。さらに、攻撃者はユーザーが知らないうちにオプション メニューを表示し、グループ会話に自分を追加することもできました。
こちらもお読みください:Android – セキュリティ上の欠陥により、すべての通話をスパイできる
FaceTime ビデオの欠陥が他のアプリで見つかったらどうなるでしょうか?
この事件によって論争が巻き起こった後、ナターシャ・シルバノビッチ氏は、他のインスタント メッセージング サービスでも同様の欠陥が見つかる可能性があるのではないかと単純に考えました。数か月にわたる綿密な分析の後、コンピュータ セキュリティ研究者は実際にこのタイプの脆弱性をいくつか発見しました。Signal、JioChat、Mocha、Facebook Messenger、さらには Google Duo。これらの欠陥によって何が可能になるかについて詳しく説明します。
- 信号: Signal Android アプリケーションの欠陥により、攻撃者が受信者の環境を聞き取ることができました
- JioChat とモカ: 攻撃者がユーザーの同意なしにターゲットデバイスにオーディオおよびビデオストリームの送信を強制する可能性。この脆弱性は、受信者が通話に応答する前にピアツーピア接続が確立されてしまうことが原因で発生しました。
- Facebookメッセンジャー: アプリに接続した攻撃者が、同時に通話を開始し、モバイル アプリケーションと別の媒体 (Web バージョンのメッセンジャーなど) の両方に接続されているターゲットに破損したメッセージを送信し、「呼び出されたデバイスの音声」を受信する可能性があります。
- Google Duo:ビデオの非アクティブ化と接続の確立との間の競合状況(編集者注:IT システムのアクターが行動する順序に応じて異なる結果を特徴とする状況です)。状況によっては、このような結果が生じる可能性があります。複数の応答のない通話後にビデオパケットが漏洩
ナタリー・シルバノヴィッチは次のように説明しています。これらの欠陥はすべて、これらのアプリケーションのそれぞれの開発者によって修正されています。。 Signal は 2019 年 6 月に、JioChat と Mocha は 2020 年の夏に問題を解決し、Facebook と Google は 2020 年末に Messenger と Google Duo の問題を解決しました。
ソース :Google プロジェクト ゼロ
