Natalie Silvanovich, esperta del team di Google Project Zero, torna a parlare di un problema di sicurezza che in passato aveva individuato in Facebook Messenger e che era presente anche in altre note app per la messaggistica come Signal e Google Duo (oltre che in JioChat e Mocha).
La Silvanovich spiega che un aggressore poteva ascoltare i suoni ambientali prima che l’utente destinatario di una chiamata rispondesse alla stessa: Bug in Facebook Messenger consentiva di spiare altri utenti.
Adesso tutte le società che si occupano dello sviluppo delle varie app di messaggistica utili anche per l’avvio di chiamate e videochiamate hanno provveduto ad aggiornare i rispettivi prodotti risolvendo le vulnerabilità scoperte.
Prima del rilascio delle patch correttive, tuttavia, i dispositivi presi di mira trasmettevano l’audio delle vittime prima ancora di una risposta alle chiamate senza la necessità di eseguire particolare codice sul terminale altrui.
Dopo la scoperta in Facebook Messenger, la Silvanovich ha voluto estendere la sua analisi a tutte le app similari esaminando il comportamento del meccanismo di segnalazione, utilizzato alla ricezione di una nuova chiamata. Nelle app citate in apertura sono state trovate gravi lacune di sicurezza che avrebbero potuto permettere a un aggressore remoto di ascoltare l’audio ambientale prima ancora di interagire con la persona chiamata.
Le vulnerabilità in questione sono state risolte in Signal, Facebook Messenger e Google Duo, rispettivamente, a settembre, novembre e dicembre 2020. Gli sviluppatori di JioChat e Mocha hanno invece provveduto già durante la scorsa estate.
L’esperta chiarisce di non aver individuato problemi simili in Telegram e Viber.
Nel recente passato la Silvanovich aveva individuato un problema di sicurezza in WhatsApp che poteva portare al crash dell’applicazione e alla condivisione di dati personali alla semplice ricezione di una chiamata: Aggiornare WhatsApp è importante: un problema di sicurezza può esporre i propri dati.