Conheça os bugs no Signal, Facebook e chat do Google e entenda porque eles permitiam espionagem dos usuários desses serviços.
Vulnerabilidades encontradas em vários aplicativos móveis de videoconferência permitiam que os invasores ouvissem os arredores dos usuários sem permissão antes que a pessoa do outro lado atendesse as chamadas.
Bugs no Signal, Facebook e chat do Google permitiam espionagem
Os bugs lógicos foram encontrados pela pesquisadora de segurança do Google Project Zero Natalie Silvanovich nos aplicativos de mensagens Signal, Google Duo, Facebook Messenger, JioChat e Mocha e agora estão todos corrigidos.
No entanto, antes de serem corrigidos, eles tornaram possível forçar os dispositivos alvo a transmitir áudio aos dispositivos dos invasores sem a necessidade de obter a execução do código.
Silvanovich explicou que:
“Eu investiguei as máquinas de estado de sinalização de sete aplicativos de videoconferência e encontrei cinco vulnerabilidades que podem permitir que um dispositivo chamador force um dispositivo chamado a transmitir dados de áudio ou vídeo.
Teoricamente, garantir o consentimento do receptor antes da transmissão de áudio ou vídeo deve ser uma questão bastante simples de esperar até que o usuário aceite a chamada antes de adicionar qualquer faixa à conexão do par.
No entanto, quando eu olhei para aplicativos reais, eles permitiram a transmissão de muitas maneiras diferentes. A maioria delas levou a vulnerabilidades que permitiam que as chamadas fossem conectadas sem interação do receptor.”
I found logic bugs that allow audio or video to be transmitted without user consent in five mobile applications including Signal, Duo and Facebook Messenger https://t.co/PlB0PzLzjJ
— Natalie Silvanovich (@natashenka) January 19, 2021
Como Silvanovich revelou, um bug do Signal corrigido em setembro de 2019 tornou possível conectar a chamada de áudio enviando a mensagem de conexão dos dispositivos do chamador para o receptor, em vez do contrário, sem interação do usuário.
O bug do Google Duo, uma condição de corrida que permitia que as chamadas vazassem pacotes de vídeo de chamadas não atendidas para o chamador, foi corrigido em dezembro de 2020, enquanto a falha do Facebook Messenger, que permitia que as chamadas de áudio se conectassem antes de a chamada ser respondida foi abordada em novembro de 2020.
Duas vulnerabilidades semelhantes foram descobertas nos mensageiros JioChat e Mocha em julho de 2020, bugs que permitiam o envio de áudio JioChat (corrigido em julho de 2020) e o envio de áudio e vídeo Mocha (corrigido em agosto de 2020) após a exploração, sem o consentimento do usuário.
Silvanovich também procurou por bugs semelhantes em outros aplicativos de videoconferência, incluindo Telegram e Viber, mas não encontrou nenhum desses problemas.
“A maioria das máquinas de estado de chamada que investiguei tinha vulnerabilidades lógicas que permitiam que o conteúdo de áudio ou vídeo fosse transmitido do receptor para o chamador sem o consentimento do chamador”, acrescentou Silvanovich.
“Também é preocupante notar que não observei nenhum recurso de chamada em grupo desses aplicativos, e todas as vulnerabilidades relatadas foram encontradas em chamadas ponto a ponto. Esta é uma área para trabalho futuro que pode revelar problemas adicionais.”
Silvanovich também encontrou uma vulnerabilidade crítica no aplicativo de mensagens móveis WhatsApp que poderia ter sido ativada simplesmente por um usuário atender a uma chamada para travar ou comprometer totalmente o aplicativo.