УЯЗВИМОСТ В ТОП ПРИЛОЖЕНИЯ ПОЗВОЛЯВА ПОДСЛУШВАНЕ

Project Zero на Google откри, че недостатък в сигурността може да е позволил на хакери да подслушват потребителите на Android. След разследване, проведено от изследователя по киберсигурност Натали Силванович, тя откри уязвимости в много приложения с над 10 милиона инсталирания в Google Play, които приемат входящи повиквания. Засегнатите приложения включват изключително популярни имена като Facebook Messenger, Signal, Google Duo, JioChat и Mocha. Експертът описа своите открития в публикация в блога на Project Zero.

Откритите недостатъци в сигурността биха позволили повикване да се свърже с приемащо устройство, без да уведомява приемника по никакъв начин. След това хакерите слушат тихо и в някои случаи дори включват камерата, без знанието на собственика на целевото устройство. Много по-малко популярни приложения не са изследвани и понастоящем е неизвестно дали тази грешка в сигурността може да се наблюдава и там. Силванович планира да продължи да разследва подобни проблеми, които биха могли да доведат до още разкрития.

„Теоретично осигуряването на съгласие на извикания преди предаването на аудио или видео трябва да бъде просто въпрос на изчакване, докато потребителят приеме повикването, преди да добави каквито и да било записи към връзката“, написа тя в публикацията. „Когато обаче разгледах реални приложения, те активираха предаването по много различни начини. Повечето от тях водят до уязвимости, които позволяват повикванията да бъдат свързани без взаимодействие от страна на повикания. “

Недостатъкът на сигурността на Signal бе закърпен през септември 2019г., а останалите приложения за съобщения бяха поправени наскоро – през втората половина на 2020г. Изследователят на Project Zero разгледа и други популярни приложения за съобщения като Telegram и Viber, но тя не можа да намери конкретни недостатъци в сигурността. Тя е изследвала Telegram през август 2020г., а Viber – през ноември миналата година. Това не е първият път, когато Project Zero разкрива такива недостатъци в сигурността. Още през ноември 2018г. същият изследовател извади на бял свят подобна вратичка в WhatsApp – това засягаше не само потребителите на Android, но и тези на  устройствата на Apple.

Въпреки че всички уязвимости са закърпени от разработчиците на приложения, хакерите все пак ще могат да използват вратичката, ако целевите устройства работят с по-стара версия на приложенията. Възможно е също така допълнителни изследвания да открият повече проблеми със сигурността, които в момента могат да се използват от хакери. Уверете се, че имате инсталиран антивирусен софтуер от висок клас на всичките си свързани устройства и че редовно актуализирате приложенията и операционната си система, ако искате да избегнете проникване в личния си живот на кибер престъпници.

Източник: Panda Media Center

Подобни публикации

27 септември 2023

Нов ZeroFont фишинг подвежда Outlook да показва...

Хакерите използват нов трик за използване на нулеви шрифтове в имей...
27 септември 2023

Google присвоява нов максимален рейтинг CVE на ...

Google е определила нов CVE ID (CVE-2023-5129) за уязвимостта в сиг...
27 септември 2023

Нова киберпрестъпна група е свързана със 7 фам...

Експерти по киберсигурност разкриха нова група за киберпрестъпления...
27 септември 2023

Microsoft разпространява Passkeys в Windows 11

Днес Microsoft официално въвежда поддръжка на клавишите passskeys в...
27 септември 2023

Излязоха резултатите от оценката на MITRE ATT&a...

Задълбочените, независими тестове са жизненоважен ресурс за анализи...
26 септември 2023

WatchGuard получи най-високото признание

WatchGuard е обявена за лидер в последния доклад на G2 Grid и е отл...
26 септември 2023

WatchGuard с награда за отлични постижения в об...

Имаме удоволствието да споделим, че WatchGuard е обявена за победит...
26 септември 2023

Рансъмуерът Akira мутира и се насочва към систе...

Откакто се появи като заплаха през март, рансъмуерът Arika продължи...
26 септември 2023

Разликите между локалната и облачната киберсигу...

Разликата между управлението на киберсигурността в локални и облачн...
Бъдете социални
Още по темата
26/09/2023

WatchGuard с награда за отл...

Имаме удоволствието да споделим, че WatchGuard...
26/09/2023

Разликите между локалната и...

Разликата между управлението на киберсигурността в...
25/09/2023

Хакери от Gelsemium са забе...

При атаките, насочени към правителство в...
Последно добавени
27/09/2023

Нов ZeroFont фишинг подвежд...

Хакерите използват нов трик за използване...
27/09/2023

Google присвоява нов максим...

Google е определила нов CVE ID...
27/09/2023

Нова киберпрестъпна група е...

Експерти по киберсигурност разкриха нова група...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!