Messenger、Google Duo、Signalなどのメッセージングソフトウェアで新たに見つかった脆弱性により、ユーザーの録音が可能になりました。
Googleの研究者チームは、MessengerやSignalなど、最も使用されているインスタントメッセージングアプリのいくつかに脆弱性があることを明らかにしました。
これは、セキュリティの専門家を集めてプログラムやインターネットの問題やバグを見つけるGoogleプロジェクトであるProjectZeroからの研究者の発見です。 たとえば、Project Zeroのメンバーは、史上最大のプロセッサの脆弱性を発見しました。
研究者のNatalieSilvanovichが7つのインスタントメッセージングアプリケーションで発見したバグは、攻撃者が被害者のデバイスを使用して、被害者が何もしなくても、被害者の同意なしにオーディオやビデオを録画できるため、さらに危険であった可能性があります。
Googleはメッセージングアプリに重大なバグを発見しました
調査が始まったのは、2019年1月に、iPhoneのバグにより、電話をかける前に、電話をかけている相手の声を聞いて確認できることが明らかになったときです。
Silvanovich氏によると、このような深刻な脆弱性は、論理的なバグが原因で発生し、同時に使いやすく、他のプラットフォームでも同様のものを見つけることができるかどうかを考えさせられました。
実際、通話とビデオ通話を許可する業界のメッセージングアプリのいくつかを確認した後、彼は多くのアプリに同様のバグがあることを発見しました。 これは、ほとんどのメッセージングアプリが、2つのエンティティ間の接続を可能にするリアルタイム通信標準であるWebRTCを使用しているためです。
その結果、これらのアプリにはいくつかのセキュリティホールがあり、攻撃者はそれを受け取ったユーザーが接続を受け入れる前に接続を確立することができました。 その結果、操作に影響を与えるだけでなく、スマートフォンから直接オーディオやビデオを録音することもできます。
信号も脆弱性の影響を受けます
影響を受けるリストにあるアプリの1つはSignalです。これは、WhatsAppまたはTelegramのより安全な代替手段としてのプレゼンテーションのおかげで、最近目覚ましい成長を遂げています。 その場合、アプリは誰が電話をかけているのかをチェックしなかったため、この脆弱性により、攻撃者はデバイスのマイクから直接聞くことができました。 この問題は、2019年9月に公開されたアップデートのおかげで解決されました。 さらに、Signalは接続を確立するためにWebRTCを使用しなくなりました。
対照的に、他のアプリはバグを修正するのに少し時間がかかりました。 皮肉なことに、Google Duoは最新のものであり、2020年12月に、応答のない通話からのビデオデータパケットのフィルタリングに関する問題を修正しました。
Facebook Messengerは、影響を受けるもう1つの人気のあるアプリであり、2020年11月に問題を修正しました。 その場合、攻撃者は通話を開始すると同時にターゲットにメッセージを送信し、アプリが画面に通話を表示せずに攻撃者に音声を送信し始める可能性があります。
Project Zeroがこれらの問題をこれまで公表しないことを決定したという問題の深刻さについては、多くのことが語られています。 Googleは、修正されたかどうかに関係なく、90日以内に発見された脆弱性を公開するという非常に物議を醸すポリシーでプロジェクトを開始しました。 たとえば、Microsoftがパッチを公開する前に、Windows10Sの制限を回避する方法を公開したとき。
ただし、このケースは、すべてのアプリ(独自のアプリを含む)にパッチが適用されるまでGoogleが待機するほど深刻だったようです。