Facebook Messenger أو Signal أو Google Duo أو Mocha أو JioChat... كانت خدمات المراسلة الفورية هذه تحتوي على عيوب أمنية خطيرة، مما جعل من الممكن الاستماع إلى المستخدم حتى قبل الرد على المكالمة. كشف باحثو Google Project Zero عن نقاط الضعف هذه.
باحث في أمن الكمبيوتر منمشروع جوجل صفراكتشف سلسلة من العيوب الأمنية الخطيرة في العديد من تطبيقات المراسلة الفورية، مثل Facebook Messenger أو Google Duo أو Signal. "لقد عثرت على أخطاء تسمح بنقل الصوت والفيديو دون موافقة المستخدم في خمسة تطبيقات للهواتف المحمولة، بما في ذلك Signal وGoogle Duo وFacebook Messenger.تكتب ناتالي سيلفانوفيتش على تويتر.
كل شيء يبدأ من واحدتم اكتشاف خطأ في تطبيق FaceTime Video في عام 2019. يتذكر،سمح هذا الخلل للمتسلل بالتجسس على مستخدمي iPhone، دون الحاجة إلى التقاطه. بالإضافة إلى ذلك، تمكن المهاجم أيضًا من عرض قائمة الخيارات وإضافة نفسه إلى محادثة جماعية، دون علم المستخدمين.
لقد وجدت أخطاء منطقية تسمح بنقل الصوت أو الفيديو دون موافقة المستخدم في خمسة تطبيقات للهاتف المحمول بما في ذلك Signal وDuo وFacebook Messengerhttps://t.co/PlB0PzLzjJ
– ناتالي سيلفانوفيتش (@ ناتاشينكا)19 يناير 2021
إقرأ أيضاً:Android – ثغرة أمنية تسمح لك بالتجسس على جميع مكالماتك
ماذا لو تم العثور على ثغرة FaceTime Video في تطبيقات أخرى؟
بعد الجدل الذي أثارته هذه القضية، تساءلت ناتاشا سيلفانوفيتش ببساطة عما إذا كان من الممكن العثور على عيوب مماثلة في خدمات المراسلة الفورية الأخرى. وبعد عدة أشهر من التحليلات المتعمقة، اكتشف باحث أمن الكمبيوتر بالفعل عدة ثغرات من هذا النوع فيSignal أو JioChat أو Mocha أو Facebook Messenger أو حتى Google Duo. وإليك بالتفصيل ما سمحت به هذه العيوب:
- إشارة: خلل في تطبيق Signal Android سمح للمهاجم بسماع بيئة المستلم
- JioChat و موكا: إمكانية قيام المهاجم بإجبار الجهاز المستهدف على إرسال تدفقات الصوت والفيديو دون موافقة المستخدم. تنبع مشكلة عدم الحصانة هذه من حقيقة أنه تم إنشاء اتصال نظير إلى نظير قبل أن يرد المستلم على المكالمة
- فيسبوك ماسنجر: إمكانية قيام مهاجم متصل بالتطبيق بإجراء مكالمة وإرسال رسالة تالفة في نفس الوقت إلى هدف متصل بكل من تطبيق الهاتف المحمول ووسيلة أخرى (إصدار الويب من Messenger على سبيل المثال) واستقبال "صوت الجهاز المتصل به"
- جوجل ديو: حالة المنافسة (ملاحظة المحرر: هذا الوضع يتميز بنتيجة مختلفة اعتمادًا على الترتيب الذي يتصرف به الممثلون في نظام تكنولوجيا المعلومات) بين إلغاء تنشيط الفيديو وإنشاء الاتصال، وهو ما يمكن أن يؤدي في بعض المواقف في حزم الفيديو التي تتسرب بعد عدة مكالمات لم يتم الرد عليها
كما تشرح ناتالي سيلفانوفيتش،تم إصلاح كل هذه العيوب من قبل المطورين المعنيين لهذه التطبيقات. واهتم تطبيق Signal بها في يونيو 2019، وJioChat وMocha خلال صيف 2020، بينما قام فيسبوك وجوجل بحل المشكلات على Messenger وGoogle Duo في نهاية 2020.
مصدر :مشروع جوجل صفر