image

Gebruikers Signal en Facebook Messenger waren door lek af te luisteren

woensdag 20 januari 2021, 11:58 door Redactie, 6 reacties

Verschillende kwetsbaarheden in chatapps Signal, Facebook Messenger, Google Duo, JioChat en Mocha maakten het mogelijk om gebruikers te bespioneren. De beveiligingslekken, die vorig jaar al werden verholpen, zijn gevonden door onderzoeker Natalie Silvanovich van Google Project Zero. Ze heeft nu een uitgebreide analyse van de gevonden problemen openbaar gemaakt.

De kwetsbaarheden in de "signalling state" van de chatapps, het proces dat komt kijken bij het opzetten van een gesprek, maakten het mogelijk voor een aanvaller om de microfoon en camera van het slachtoffer in te schakelen, zonder dat die hiervoor iets hoefde te doen. Zo kon de omgeving van het slachtoffer worden afgeluisterd of gefilmd.

"In theorie zou het vrij eenvoudig moeten zijn dat er pas audio of video wordt doorgegeven wanneer de gebelde persoon opneemt", laat Silvanovich weten. "Wanneer ik echter naar echte applicaties keek bleken ze de transmissie op allerlei verschillende manieren mogelijk te maken. Veel van deze manieren zorgden voor kwetsbaarheden waardoor gesprekken konden worden opgezet zonder interactie van de gebelde persoon."

In het geval van Signal gebruikte Silvanovich hiervoor een aangepaste Androidversie van de Signal-app. Daarmee was het mogelijk om een audioverbinding met het slachtoffer op te zetten, zonder dat die het inkomende gesprek hoefde te accepteren. De iOS-versie beschikte over een zelfde probleem, maar daar lukte het door een fout in de gebruikersinterface niet om de aanval uit te voeren. De kwetsbaarheid werd in september 2019 door Signal verholpen.

In Facebook Messenger vond Silvanovich vorig jaar oktober een kwetsbaarheid die een soortgelijke aanval mogelijk maakte. Wederom kon er een audioverbinding worden opgezet zonder dat het slachtoffer moest opnemen. Facebook verhielp het probleem in november. Een aanvaller kon bij gebruikers van Google Duo een videostream inschakelen en zo ongemerkt meekijken, ontdekte de onderzoeker in september. Hierbij werd echter geen audio doorgegeven. Google kwam in december met een oplossing.

Naast de bovengenoemde chatapplicaties keek Silvanovich ook naar Viber en Telegram, maar ontdekte daar geen problemen. Ze vraagt zich af waarom dergelijke kwetsbaarheden zo vaak bij chatapps voorkomen. Ze vermoedt dat de oorzaak ligt een gebrek aan bewustzijn over dit soort beveiligingslekken en de complexiteit die komt kijken bij het opzetten van gesprekken tussen gebruikers van chatapps.

Reacties (6)
20-01-2021, 14:10 door Anoniem
beetje paniek zaaien?
20-01-2021, 14:41 door Anoniem
Google Project Zero

Ik weet weer genoeg.
20-01-2021, 14:57 door Anoniem
Waarschijnlijk is dit gedaan omdat als je al een stream hebt lopen, je niet nog een buffer te vullen hebt en alvast wat jitter stats kunt berekenen. Volgens mij was dit ook een oud probleem op mobiele netwerken, toen die switchten naar packet based.
20-01-2021, 15:28 door Anoniem

aangepaste Androidversie van de Signal-app.
Kan je het wel een kwetsbaarheid noemen als de app zelf aangepast , opnieuw gebuild en geinstalleerd moet worden ?
20-01-2021, 16:24 door Anoniem
Door Anoniem:

aangepaste Androidversie van de Signal-app.
Kan je het wel een kwetsbaarheid noemen als de app zelf aangepast , opnieuw gebuild en geinstalleerd moet worden ?

Wel als dat alleen maar door de aanvaller gedaan dient te worden (zoals ik hem hier lees)
22-01-2021, 08:08 door Anoniem
Door Anoniem: Google Project Zero

Ik weet weer genoeg.
Ik vind het wel aardig dat met het hele Project Zero gedoe, Google zich vrij breed ongewenst heeft weten te maken.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.