Een nieuw gevonden kwetsbaarheid in berichtensoftware zoals Messenger, Google Duo en Signal maakte het mogelijk om gebruikers op te nemen.
Een team van Google-onderzoekers heeft een kwetsbaarheid onthuld in enkele van de meest gebruikte instant messaging-apps, zoals Messenger en Signal.
Dit is de ontdekking van een onderzoeker van Project Zero, het Google-project dat beveiligingsexperts samenbrengt om problemen en bugs in programma’s en internet op te sporen. Leden van Project Zero ontdekten bijvoorbeeld de grootste kwetsbaarheid van de processor in de geschiedenis.
De bugs die onderzoeker Natalie Silvanovich in zeven instant messaging-applicaties ontdekte, hadden nog gevaarlijker kunnen zijn, omdat aanvallers audio en video’s konden opnemen met het apparaat van het slachtoffer, zonder dat het slachtoffer iets hoefde te doen en zonder de toestemming van het slachtoffer.
Google ontdekte ernstige bugs in berichten-apps
Het onderzoek begon toen in januari 2019 werd onthuld dat een bug in de iPhone ons in staat stelde de persoon die we belden te horen en te zien, voordat ze de oproep aannamen.
Volgens Silvanovich deed zo’n ernstige kwetsbaarheid, en tegelijkertijd gemakkelijk te gebruiken, zich voor vanwege een logische bug, die hem deed nadenken of hij iets soortgelijks op andere platforms kon vinden.
En inderdaad, na het bekijken van enkele van de berichten-apps in de branche die oproepen en videogesprekken mogelijk maken, ontdekte hij dat veel soortgelijke bugs hadden. Dat komt omdat de meeste berichten-apps WebRTC gebruiken, een real-time communicatiestandaard die verbinding tussen twee entiteiten mogelijk maakt.
Als gevolg hiervan hadden deze apps verschillende beveiligingslekken, waardoor een aanvaller de verbinding kon maken voordat de gebruiker die deze ontving, deze zelfs moest accepteren; Als gevolg hiervan zou het audio en zelfs video rechtstreeks van de smartphone kunnen opnemen, naast de werking ervan.
Signaal wordt ook beïnvloed door de kwetsbaarheid
Een van de apps op de getroffen lijst is Signal, dat onlangs een spectaculaire groei heeft doorgemaakt, juist dankzij zijn presentatie als een veiliger alternatief voor WhatsApp of Telegram. In dit geval stelde de kwetsbaarheid een aanvaller in staat rechtstreeks via de microfoon van het apparaat te luisteren, omdat de app niet controleerde wie er belde. Dit probleem is opgelost dankzij een update die in september 2019 is gepubliceerd; Bovendien gebruikt Signal niet langer WebRTC om verbindingen te maken.
Daarentegen hebben andere apps iets langer nodig gehad om hun bugs op te lossen; ironisch genoeg was Google Duo de nieuwste en loste in december 2020 een probleem op dat videodatapakketten van onbeantwoorde oproepen filterde.
Facebook Messenger is een andere populaire app die getroffen is en die het probleem in november 2020 heeft opgelost; in dat geval zou de aanvaller een oproep kunnen starten en tegelijkertijd een bericht naar het doelwit kunnen sturen, waardoor de app geluid naar de aanvaller begint te sturen zonder de oproep op het scherm te tonen.
Het zegt veel over de ernst van het probleem dat Project Zero heeft besloten om deze problemen tot nu toe niet openbaar te maken. Google begon het project met een zeer controversieel beleid, namelijk het publiceren van de kwetsbaarheden die binnen 90 dagen werden ontdekt, ongeacht of ze waren opgelost; bijvoorbeeld toen het publiceerde hoe de beperkingen van Windows 10S konden worden omzeild voordat Microsoft de patch kon publiceren.
Deze zaak lijkt echter ernstig genoeg te zijn geweest voor Google om te hebben gewacht totdat alle apps (inclusief de eigen) waren gepatcht.