Quase todas as aplicações contém vulnerabilidades de segurança, alguns dos quais você pode encontrar hoje, mas outros permanecem invisíveis até que alguém descobre e explora-los-que é a dura realidade da segurança cibernética e seu estado atual.
E quando dizemos isso, sinal privado Mensageiro-promovido como um dos mensageiros mais seguros do nsi’t-world qualquer exceção.
Google Project Zero pesquisador Natalie Silvanovich descobriu uma vulnerabilidade lógica no aplicativo de mensagens de sinal para Android que poderia permitir chamador malicioso para forçar uma chamada seja atendida no final do receptor sem a necessidade de seu / sua interação.
Em outras palavras, a falha pode ser explorada para ligar o microfone do dispositivo de um usuário Signal alvo e ouvir todas as conversas circundantes.
No entanto, a vulnerabilidade de sinal só pode ser explorada se o receptor não consegue responder a uma chamada de áudio sobre Signal, eventualmente, forçando a chamada recebida seja automaticamente respondeu no dispositivo do receptor.
“No cliente Android, existe um método handleCallConnected que faz com que a chamada para concluir a ligação Durante o uso normal, ele é chamado em duas situações:. Quando o dispositivo receptor aceita a chamada quando o usuário seleciona ‘aceitar’, e quando o dispositivo chamador recebe uma mensagem recebida “ligar”, indicando que o receptor aceitou a chamada,” Silvanovich explica no blog Chromium.
“Usando um cliente modificado, é possível enviar a mensagem ‘ligar’ a um dispositivo receptor quando uma chamada está em andamento, mas ainda não foi aceito pelo usuário. Isso faz com que a chamada seja atendida, mesmo que o usuário tem não interagiu com o dispositivo.”
De notar, “a chamada conectada será apenas uma chamada de áudio, como o usuário precisa ativar vídeo manualmente em todas as chamadas.”
Silvanovich também mencionou que “Signal tem essa grande superfície de ataque remoto devido às limitações na WebRTC,” ea falha de projeto também afeta a versão iOS do aplicativo de mensagens, mas não pode ser explorada porque “a chamada não é concluída devido a um erro no a interface do usuário causado pela seqüência inesperada de estados “.
Silvanovich relatou essa vulnerabilidade para a equipe de segurança do sinal no mês passado.
A empresa reconheceu o problema e lançou um patch hoje com o lançamento da versão Signal v4.48.13 no GitHub, o que ainda está para ser disponibilizado no Google Play Store.
Qual a sua opinião? Deixe-me escrevê-lo para você de novo, manter um olho no jogo atualizações do Google Store para Signal Privada Messenger e certifique-se de instalar a versão mais recente o mais rapidamente disponíveis.
