พบบั๊กช่วยสามารถสอดแนมผู้ใช้ปลายทางกระทบแอป Facebook Messenger และ Google Duo

Natalie Silvanovich ผู้เชี่ยวชาญด้านความมั่นคงปลอดภัยจาก Google Project Zero ได้พบช่องโหว่ที่ช่วยให้ผู้โทรสามารถได้รับแพ็กเกจของฝั่งผู้รับได้ก่อนรับสาย โดยมีหลายแอปพลิเคชันที่ได้รับผลกระทบนี้ประกอบด้วย Facebook Messenger, Google Duo, Signal, JioChat และ Mocha

Credit: ShutterStock.com

Silvanovich ได้ค้นพบบั๊กในลอจิกของแอปพลิเคชันเหล่านั้น โดยเขาเล่าว่า “ผมได้ไล่ดู State Machine ของแอปพลิเคชันประชุมทางไกล 7 ตัวพบว่ามี 5 ตัวมีช่องโหว่ที่อนุญาตให้ผู้รับมีการส่งข้อมูลเสียงหรือวีดีโอกลับมาก่อนที่จะรับสาย” ซึ่งบั๊กในแอปพลิเคชันต่างๆ มีดังนี้

  • Signal – มีการส่งเสียงกลับมาได้ ได้รับการแพตช์แล้วตั้งแต่กันยายน 2019
  • Google Duo – เปิดเผยแพ็กเก็ตวีดีโอ แพตช์เมื่อธันวาคมที่ผ่านมา
  • Facebook Messenger – มีการเชื่อมต่อเสียงก่อนกดรับ แพตช์แก้ไขแล้วในเดือนพฤศจิกายน
  • JioChat – มีการเปิดเผยเสียงก่อนเช่นกัน แต่มีแพตช์แก้ไขแล้ว
  • Mocha – มีการเปิดเผยทั้งเสียงและวีดีโอ โดยมีแพตช์แก้ไขแล้ว

อย่างไรก็ดีผู้เชี่ยวชาญไม่พบปัญหาในแอปอื่นอย่าง Viber และ Telegram แต่ตัวเขาเองยังไม่ได้ทดสอบกับฟีเจอร์ Group Calling ในแอปพลิเคชันต่างๆ ผู้สนใจสามารถอ่านเรื่องราวจากบล็อกของ Google ได้ที่ https://googleprojectzero.blogspot.com/2021/01/the-state-of-state-machines.html

ที่มา : https://www.bleepingcomputer.com/news/security/bugs-in-signal-facebook-google-chat-apps-let-attackers-spy-on-users/


About nattakon

จบการศึกษา ปริญญาตรีและโท สาขาวิศวกรรมคอมพิวเตอร์ KMITL เคยทำงานด้าน Engineer/Presale ดูแลผลิตภัณฑ์ด้าน Network Security และ Public Cloud ในประเทศ ปัจจุบันเป็นนักเขียน Full-time ที่ TechTalkThai

Check Also

นักวิจัยสาธิตการแฮ็กเซิร์ฟเวอร์ Oracle เพื่อแสดงให้เห็นถึงช่องโหว่ที่ร้ายแรง

สืบเนื่องมาจากความล่าช้าในการแก้ไขข้อพร่องพกนานถึง 6 เดือน กับช่องโหว่ที่นักวิจัยเรียกว่า “mega 0-day” ช่องโหว่นี้สามารถถูกใช้ได้จากทางไกลโดยไม่ต้องผ่านการพิสูจน์ตัวตน ถูกค้นพบโดย Jang และ Peterjson นักวิจัยด้านความปลอดภัย พวกเขาตั้งชื่อมันว่า The Miracle …

ฟรี eBook: คู่มือ PDPA สำหรับประชาชน

หลังจากเปิดให้ดาวน์โหลด eBook เรื่อง “คู่มือ PDPA สำหรับผู้ประกอบการ SMEs” ไปเมื่อไม่กี่วันที่ผ่านมา ล่าสุดสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล ออก eBook อีกฉบับเรื่อง “คู่มือ PDPA สำหรับประชาชน” …