Verschillende kwetsbaarheden in chatapps Signal, Facebook Messenger, Google Duo, JioChat en Mocha maakten het mogelijk om gebruikers te bespioneren. De beveiligingslekken, die vorig jaar al werden verholpen, zijn gevonden door onderzoeker Natalie Silvanovich van Google Project Zero. Ze heeft nu een uitgebreide analyse van de gevonden problemen openbaar gemaakt.
De kwetsbaarheden in de "signalling state" van de chatapps, het proces dat komt kijken bij het opzetten van een gesprek, maakten het mogelijk voor een aanvaller om de microfoon en camera van het slachtoffer in te schakelen, zonder dat die hiervoor iets hoefde te doen. Zo kon de omgeving van het slachtoffer worden afgeluisterd of gefilmd.
"In theorie zou het vrij eenvoudig moeten zijn dat er pas audio of video wordt doorgegeven wanneer de gebelde persoon opneemt", laat Silvanovich weten. "Wanneer ik echter naar echte applicaties keek bleken ze de transmissie op allerlei verschillende manieren mogelijk te maken. Veel van deze manieren zorgden voor kwetsbaarheden waardoor gesprekken konden worden opgezet zonder interactie van de gebelde persoon."
In het geval van Signal gebruikte Silvanovich hiervoor een aangepaste Androidversie van de Signal-app. Daarmee was het mogelijk om een audioverbinding met het slachtoffer op te zetten, zonder dat die het inkomende gesprek hoefde te accepteren. De iOS-versie beschikte over een zelfde probleem, maar daar lukte het door een fout in de gebruikersinterface niet om de aanval uit te voeren. De kwetsbaarheid werd in september 2019 door Signal verholpen.
In Facebook Messenger vond Silvanovich vorig jaar oktober een kwetsbaarheid die een soortgelijke aanval mogelijk maakte. Wederom kon er een audioverbinding worden opgezet zonder dat het slachtoffer moest opnemen. Facebook verhielp het probleem in november. Een aanvaller kon bij gebruikers van Google Duo een videostream inschakelen en zo ongemerkt meekijken, ontdekte de onderzoeker in september. Hierbij werd echter geen audio doorgegeven. Google kwam in december met een oplossing.
Naast de bovengenoemde chatapplicaties keek Silvanovich ook naar Viber en Telegram, maar ontdekte daar geen problemen. Ze vraagt zich af waarom dergelijke kwetsbaarheden zo vaak bij chatapps voorkomen. Ze vermoedt dat de oorzaak ligt een gebrek aan bewustzijn over dit soort beveiligingslekken en de complexiteit die komt kijken bij het opzetten van gesprekken tussen gebruikers van chatapps.
Deze posting is gelocked. Reageren is niet meer mogelijk.