Una nuova vulnerabilità rilevata nel software di messaggistica come Messenger, Google Duo e Signal ha consentito agli utenti di registrare.
Un team di ricercatori di Google ha rivelato una vulnerabilità in alcune delle app di messaggistica istantanea più utilizzate, come Messenger e Signal.
Questa è la scoperta di un ricercatore di Project Zero, il progetto di Google che riunisce esperti di sicurezza per trovare problemi e bug nei programmi e in Internet. Ad esempio, i membri di Project Zero hanno scoperto la più grande vulnerabilità del processore nella storia.
I bug scoperti dalla ricercatrice Natalie Silvanovich in sette applicazioni di messaggistica istantanea avrebbero potuto essere ancora più pericolosi, in quanto consentivano agli aggressori di registrare audio e video utilizzando il dispositivo della vittima, senza che la vittima dovesse fare nulla e senza il consenso della vittima.
Google ha scoperto gravi bug nelle app di messaggistica
L’indagine è iniziata, quando nello scorso gennaio 2019 è stato rivelato che un bug nell’iPhone ci permetteva di sentire e vedere la persona che stavamo chiamando, prima che rispondesse alla chiamata.
Secondo Silvanovich, una vulnerabilità così grave e allo stesso tempo facile da usare si è verificata a causa di un bug logico, gli ha fatto pensare se poteva trovare qualcosa di simile su altre piattaforme.
E infatti, dopo aver esaminato alcune delle app di messaggistica del settore che consentono chiamate e videochiamate, ha scoperto che molte avevano bug simili. Questo perché la maggior parte delle app di messaggistica utilizza WebRTC, uno standard di comunicazione in tempo reale che consente la connessione tra due entità.
Di conseguenza, queste app presentavano diversi buchi di sicurezza, consentendo a un utente malintenzionato di effettuare la connessione prima che l’utente che la riceveva dovesse accettarla; di conseguenza, potrebbe registrare audio e persino video direttamente dallo smartphone, oltre a influire sul suo funzionamento.
Anche il segnale risente della vulnerabilità
Una delle app della lista interessata è Signal, che ha recentemente goduto di una crescita spettacolare grazie proprio alla sua presentazione come alternativa più sicura a WhatsApp o Telegram. Nel suo caso, la vulnerabilità consentiva a un utente malintenzionato di ascoltare direttamente attraverso il microfono del dispositivo, poiché l’app non controllava chi stava effettuando la chiamata. Questo problema è stato risolto grazie ad un aggiornamento pubblicato a settembre 2019; Inoltre, Signal non utilizza più WebRTC per effettuare le connessioni.
Al contrario, altre app hanno impiegato un po ‘più di tempo per correggere i loro bug; ironia della sorte, Google Duo è stato l’ultimo, risolvendo nel dicembre 2020 un problema che filtrava i pacchetti di dati video dalle chiamate senza risposta.
Facebook Messenger è un’altra app popolare interessata, che ha risolto il problema a novembre 2020; nel suo caso, l’attaccante potrebbe avviare una chiamata e allo stesso tempo inviare un messaggio al bersaglio, facendo sì che l’app inizi a inviare suoni all’attaccante senza mostrare la chiamata sullo schermo.
La dice lunga sulla gravità del problema che Project Zero abbia deciso di non rendere pubblici questi problemi fino ad ora. Google ha avviato il progetto con una politica molto controversa, di pubblicare le vulnerabilità scoperte entro 90 giorni, indipendentemente dal fatto che fossero state corrette; ad esempio, quando ha pubblicato come aggirare i limiti di Windows 10S prima che Microsoft potesse pubblicare la patch.
Tuttavia, questo caso sembra essere stato abbastanza serio da far sì che Google abbia aspettato fino a quando tutte le app (inclusa la propria) non fossero state patchate.