Sohbet Uygulamalarındaki Hatalar, Birden fazla video konferans mobil uygulamasında bulunan güvenlik açıkları, saldırganların hedefi haline geldi. Diğer taraftaki kişi çağrıları almadan önce kullanıcıların çevresini izinsiz olarak dinlemelerine izin veriyor.
Mantık hataları Google Project Zero güvenlik araştırmacısı Natalie Silvanovich tarafından Signal, Google Duo, Facebook Messenger, JioChat ve Mocha mesajlaşma uygulamalarında bulundu ve şimdi hepsi düzeltildi.
Bununla birlikte, yama uygulanmadan önce, hedeflenen cihazları, kod yürütme kazanmasına gerek kalmadan saldırganların cihazlarına ses iletmeye zorlamayı mümkün kıldılar.
Silvanovich, “Yedi video konferans uygulamasının sinyal durumu makinelerini araştırdım ve arayan cihazın bir aranan cihazı ses veya video verilerini iletmeye zorlamasına izin verebilecek beş güvenlik açığı buldum” dedi.
“Teorik olarak, ses veya video aktarımından önce aranan ucun onayını sağlamak, eş bağlantıya herhangi bir parça eklemeden önce kullanıcının aramayı kabul etmesini beklemek oldukça basit bir mesele olmalıdır.
“Ancak, gerçek uygulamalara baktığımda iletimi birçok farklı şekilde etkinleştirdiler. Bunların çoğu, aranan uçtan etkileşim olmadan çağrıların bağlanmasına izin veren güvenlik açıklarına yol açtı.”
Sohbet Uygulamalarındaki Hatalar Neler?
I found logic bugs that allow audio or video to be transmitted without user consent in five mobile applications including Signal, Duo and Facebook Messenger https://t.co/PlB0PzLzjJ
— Natalie Silvanovich (@natashenka) January 19, 2021
Silvanovich’in ortaya çıkardığı gibi, Eylül 2019’da yamalanan bir Signal hatası, kullanıcı etkileşimi olmadan arayan cihazlardan aranan cihaza bağlantı mesajı göndererek sesli aramayı bağlamayı mümkün kıldı.
Google Duo hata, callees arayana cevapsız çağrılar video paketlerini sızmalarına izin bir yarış durumu, Aralık 2020 yılında sabit iken Facebook Messenger kusur. JioChat sesinin gönderilmesine (Temmuz 2020’de düzeltildi) ve kullanımdan sonra Mocha ses ve videosunun (Ağustos 2020’de düzeltildi) kullanıcı izni olmadan gönderilmesine izin veren hatalar.
Silvanovich, Telegram ve Viber gibi diğer video konferans uygulamalarında da benzer hataları aradı, ancak böyle bir sorun bulamadı.
Silvanovich, “Araştırdığım arama durumu makinelerinin çoğunda, ses veya video içeriğinin arayan uçtan arayan uca, aranan ucun izni olmadan iletilmesine izin veren mantık güvenlik açıkları vardı” diye ekledi.
Ayrıca, bu uygulamaların herhangi bir grup arama özelliğine bakmadığımı ve bildirilen tüm güvenlik açıklarının eşler arası görüşmelerde bulunduğunu da belirtmek gerekir. Bu, gelecekte ek sorunları ortaya çıkarabilecek bir çalışma alanıdır.
Silvanovich, iki yıl önce WhatsApp mobil mesajlaşma uygulamasında, yalnızca bir kullanıcının uygulamanın çökmesi veya tamamen tehlikeye atılması çağrısını yanıtlamasıyla etkinleştirilebilecek kritik bir güvenlik açığı buldu.
