Те, що створене людиною, може бути й зруйноване людиною. Цей принцип успішно застосовується не лише до політичних устроїв, але й до програм. Наші щоденні застосунки — Facebook, Viber, Telegram чи Signal — пишуться і контролюються серйозними командами програмістів. Утім, навіть такі ескадрони не мають імунітету від кібервразливості.
На щастя, не всі, хто знаходить вразливості у коді — зловмисники. Існує поняття етичного хакінгу, коли людина добровільно повідомляє компанію-виробника про знайдену вразливість і надсилає свій гаманець для добровільної пожертви-винагороди. Схожа модель існування і в нас, тож ми дякуємо кожному, хто вкладається у набої інформаційної війни за здоровий глузд українців.
Принципами етичного хакінгу керувалася і Наталі Сільванович — спеціалістка з кібербезпеки Google Project Zero, коли відзвітувала про знайдені вразливості у Signal, Facebook Messenger та Google Duo. Наталі ще торік приватно повідомила розробників про вразливості, адже логіка роботи цих додатків відкривала «дверцята» для шпигування за жертвою.
Основою її дослідження став аналіз роботи функцій відеозв’язку, про який ми писали ще на початку 2019-го. Функція відеозв’язку на пристроях Apple тоді дозволяла захопити картинку з камери телефона жертви без будь-якого сповіщення. Тож Наталі вирішила перевірити таку вразливість і в наступних версіях популярних додатків.
Але проблема виявилася не в конкретній стрічці коду, а в некоректній логіці роботи самої системи відеодзвінків. Річ у тім, що при обміні пакетами сторона, що дзвонить, може підмінити дозвіл на передачу картинки, тож жертва навіть не знатиме про це. Звісно, схема має певні обмеження, адже треба ініціювати дзвінок, а отже, «по-тихому» зламати не вийде. Ну й сама наявність фото з фронтальної камери не завжди може бути корисною для хакерів інформацією. Власне, хакер може лише побачити, хто взяв смартфон у руки, коли він здійснив дзвінок.
Логіка роботи відеодзвінків у месенджері Signal.
Хоча наслідки таких атак були б не дуже серйозними, ситуація все одно неприємна і часом може справді нашкодити жертві. Сільванович знайшла такі вразливості в усіх вищеописаних додатках, і хоча механізми роботи різнилися, принцип і логіка лишалися однаковими.
Сільванович підкреслила, що вона проаналізувала лише зв’язок між користувачами, а не групові відеодзвінки. У своєму звіті вона зазначила, що групові відеоконференції — наступний етап її роботи над вразливостями популярних месенджерів.
