Користувачів Signal та Facebook прослуховували без їхньої згоди
1 лютого 2021
1.02.2021

Користувачів месенджерів Signal та Facebook і ще трьох застосунків для відеоконференцій — JioChat, Mocha та Google Duo прослуховували без їхньої згоди. Витік даних могла спричинити помилка у системі WebRTC – інтернет-протоколі із відкритим кодом для голосового та відеозв'язку.

Про це повідомляє Google Project Zero.

Головною причиною багів була відсутність обізнаності щодо проблем такого типу. Крім того, багато із перевірених застосунків мали надто складні налаштування для дзвінків.

Signal Messenger досліджували у 2019 році та знайшли баг у коді додатку. У вересні того ж року код сигналізації замінили проєктом ringrtc.

Схема роботи дзвінків Signal Messenger, джерело Project Zero

Facebook перевіряли у жовтні 2020 року та знайшли схожу проблему. Її виправили у листопаді 2020 року.

Схема роботи дзвінків Facebook, джерело Project Zero

Перевіряли лише дзвінки між двома співрозмовниками. За словами Наталі Сільванович — дослідниці безпеки в Google Project Zero, такі вразливості системи можуть бути і у групових чатах.

Нагадуємо, що раніше хакери створили бот для продажу телефонних номерів майже 533 мільйонів користувачів Facebook.