Bugs no Signal, Facebook e aplicativos de bate-papo do Google permitem que invasores espionem usuários
Vulnerabilidades encontradas em vários aplicativos móveis de videoconferência permitiam que os invasores ouvissem os arredores dos usuários sem permissão antes que a pessoa do outro lado atendesse as chamadas.
Os bugs lógicos foram encontrados pela pesquisadora de segurança do Google Project Zero Natalie Silvanovich nos aplicativos de mensagens Signal, Google Duo, Facebook Messenger, JioChat e Mocha e agora estão todos corrigidos.
No entanto, antes de serem corrigidos, eles tornaram possível forçar os dispositivos alvo a transmitir áudio aos dispositivos dos invasores sem a necessidade de obter a execução do código.
“Eu investiguei as máquinas de estado de sinalização de sete aplicativos de videoconferência e encontrei cinco vulnerabilidades que podem permitir que um dispositivo chamador force um dispositivo chamado a transmitir dados de áudio ou vídeo”, explicou Silvanovich.
“Teoricamente, garantir o consentimento do receptor antes da transmissão de áudio ou vídeo deve ser uma questão bastante simples de esperar até que o usuário aceite a chamada antes de adicionar qualquer faixa à conexão do par.
“No entanto, quando eu olhei para aplicativos reais, eles permitiram a transmissão de muitas maneiras diferentes. A maioria delas levou a vulnerabilidades que permitiam que as chamadas fossem conectadas sem interação do receptor.
Como Silvanovich revelou, um bug do Signal corrigido em setembro de 2019 tornou possível conectar a chamada de áudio enviando a mensagem de conexão dos dispositivos do chamador para o receptor, em vez do contrário, sem interação do usuário.
O bug do Google Duo , uma condição de corrida que permitia que as chamadas vazassem pacotes de vídeo de chamadas não atendidas para o autor da chamada, foi corrigido em dezembro de 2020, enquanto a falha do Facebook Messenger (anteriormente coberta pelo BleepingComputer aqui ), que permitia que as chamadas de áudio se conectassem antes que a chamada fosse respondida foi abordada em novembro de 2020.
Duas vulnerabilidades semelhantes foram descobertas nos mensageiros JioChat e Mocha em julho de 2020, bugs que permitiam o envio de áudio JioChat (corrigido em julho de 2020) e o envio de áudio e vídeo Mocha (corrigido em agosto de 2020) após a exploração, sem o consentimento do usuário.
Silvanovich também procurou bugs semelhantes em outros aplicativos de videoconferência, incluindo Telegram e Viber, mas não encontrou nenhum desses problemas.
“A maioria das máquinas de estado de chamada que investiguei tinha vulnerabilidades lógicas que permitiam que o conteúdo de áudio ou vídeo fosse transmitido do receptor para o chamador sem o consentimento do receptor”, acrescentou Silvanovich .
