พบบั๊กช่วยสามารถสอดแนมผู้ใช้ปลายทางกระทบแอป Facebook Messenger และ Google Duo

Natalie Silvanovich ผู้เชี่ยวชาญด้านความมั่นคงปลอดภัยจาก Google Project Zero ได้พบช่องโหว่ที่ช่วยให้ผู้โทรสามารถได้รับแพ็กเกจของฝั่งผู้รับได้ก่อนรับสาย โดยมีหลายแอปพลิเคชันที่ได้รับผลกระทบนี้ประกอบด้วย Facebook Messenger, Google Duo, Signal, JioChat และ Mocha

Credit: ShutterStock.com

Silvanovich ได้ค้นพบบั๊กในลอจิกของแอปพลิเคชันเหล่านั้น โดยเขาเล่าว่า “ผมได้ไล่ดู State Machine ของแอปพลิเคชันประชุมทางไกล 7 ตัวพบว่ามี 5 ตัวมีช่องโหว่ที่อนุญาตให้ผู้รับมีการส่งข้อมูลเสียงหรือวีดีโอกลับมาก่อนที่จะรับสาย” ซึ่งบั๊กในแอปพลิเคชันต่างๆ มีดังนี้

  • Signal – มีการส่งเสียงกลับมาได้ ได้รับการแพตช์แล้วตั้งแต่กันยายน 2019
  • Google Duo – เปิดเผยแพ็กเก็ตวีดีโอ แพตช์เมื่อธันวาคมที่ผ่านมา
  • Facebook Messenger – มีการเชื่อมต่อเสียงก่อนกดรับ แพตช์แก้ไขแล้วในเดือนพฤศจิกายน
  • JioChat – มีการเปิดเผยเสียงก่อนเช่นกัน แต่มีแพตช์แก้ไขแล้ว
  • Mocha – มีการเปิดเผยทั้งเสียงและวีดีโอ โดยมีแพตช์แก้ไขแล้ว

อย่างไรก็ดีผู้เชี่ยวชาญไม่พบปัญหาในแอปอื่นอย่าง Viber และ Telegram แต่ตัวเขาเองยังไม่ได้ทดสอบกับฟีเจอร์ Group Calling ในแอปพลิเคชันต่างๆ ผู้สนใจสามารถอ่านเรื่องราวจากบล็อกของ Google ได้ที่ https://googleprojectzero.blogspot.com/2021/01/the-state-of-state-machines.html

ที่มา : https://www.bleepingcomputer.com/news/security/bugs-in-signal-facebook-google-chat-apps-let-attackers-spy-on-users/


About nattakon

จบการศึกษา ปริญญาตรีและโท สาขาวิศวกรรมคอมพิวเตอร์ KMITL เคยทำงานด้าน Engineer/Presale ดูแลผลิตภัณฑ์ด้าน Network Security และ Public Cloud ในประเทศ ปัจจุบันเป็นนักเขียน Full-time ที่ TechTalkThai

Check Also

Red x Blue Pill 2022 โดย 2600 Thailand เปิดให้ซื้อบัตรเข้าร่วมงานแล้ว

2600 Thailand ประกาศจัดงานสัมมนาแบบพบหน้า Red x Blue Pill 2022 ซึ่งเป็นงานสัมมนาที่ได้รับการกล่าวขานว่า “เจาะลึก” ด้าน Computer Security ที่สุดในประเทศไทย โดยรวบรวมเนื้อหาทั้งด้าน …

ServiceNow เข้าซื้อกิจการ Era Software เสริมทัพ Observability Platform

ServiceNow ประกาศเข้าซื้อกิจการ Era Software เสริมทัพ Observability Platform