2019. január 29-én az iPhone-ok egy nagyon súlyos hibájára derült fény. A csoportos FaceTime beszélgetésekbe kívülről be lehetett csatlakozni egy hívással úgy, hogy a hívott fél ne tudjon róla (és így a csoportos videochat egyetlen résztvevője se), hogy felvette a hívást, azaz beengedett még valakit a beszélgetésbe. Ezt a hibát kihasználva akár poloskává is lehetett alakítani a telefonokat. Az Apple azonnal beszüntette a szolgáltatáshoz való hozzáférést, majd rövid időn belül javította a hibát.

Ez az eset volt a nyitósztorija Natalie Silvanovich informatikai biztonsági szakértő előadásának (pdf), amit csütörtökön tartott a Las Vegas-i Black Hat konferencián. A Google szakemberét ugyanis annyira meglepte a 2019-es eset, hogy utána több chatprogramot is megvizsgált, és arra a még megdöbbentőbb eredményre jutott, hogy általános problémát fedezett fel: több más mellett a Facebook Messengerben egy hívással észrevétlenül bele tudott hallgatni beszélgetésekbe, az egyébként minden szempontból szupertitkosított Signal alkalmazásában is le tudott hallgatni beszélgetéseket, a Google Duo programban pedig pár másodpercig a videóba tudott belenézni – ez is alkalmas lehet arra, hogy egy hacker rögzítse a chat egy részét.

Az érintett fejlesztők a hibákat minden esetben azonnal javították.

A jelenségek mindegyikére jellemző volt, hogy a kipécézett mobil tulajdonosától semmilyen interakciót nem igényelt, vagyis a hívott felet nem kellett semmilyen trükkel rávenni arra, hogy bármit tegyen a telefonjával, mégis a tudta nélkül beengedte a beszélgetésekbe a külső hívásokat.

Silvanovich végül arra jutott, hogy az internetalapú hang- és videóhívásoknál a programok fejlesztői a WebRTC nevű nyílt forráskódú program kommunikációs elemeire építették a megoldásaikat, de az adaptálás során vagy félreértelmezték a WebRTC nyújtotta lehetőségeket, vagy egyszerűen nem végeztek elég alapos munkát.

Amikor az internetalapú hívások felépülnek, a fejlesztők alapvetően két megoldás közül választhatnak. A készülékek közötti kommunikáció lehetősége technikailag már azelőtt felépülhet, hogy a hívott fél fogadná a hívást, ennek az az előnye, hogy ha tényleg rákattint a fogadás gombra, akkor a beszélgetés abban a pillanatban elindulhat. A másik lehetőség, hogy a kapcsolat csak akkor kezd felépülni, amikor a hívott fél ténylegesen fogadta a hívást, ekkor viszont nem olyan gördülékeny a kapcsolat felépülése, kell egy kis idő, mire a beszélgetés elkezdődhet.

A második megoldásra könnyebb biztonságos programokat fejleszteni, de a legtöbb esetben mégis az első utat választják a cégek, mert azt érthető okokból jobban szeretik a felhasználók. Silvanovich szerint az első úton járva is lehet hiba nélküli programokat írni, de a feladat bonyolultabb, és több hibalehetőséget tartalmaz.

Kapcsolódó cikkKapcsolódó cikkEgy régi bevált trükk, ami megnehezíti a mobil lehallgatásátTeljes védelmet nem jelent, de a hackerek dolgát legalább megnehezíti, ha gyakran indítjuk újra a telefonunkat.

G7 támogató leszek! Egyszeri támogatás / Előfizetés

Tech chat lehallgatás mobil poloska videó Olvasson tovább a kategóriában