พบบั๊กช่วยสามารถสอดแนมผู้ใช้ปลายทางกระทบแอป Facebook Messenger และ Google Duo

Natalie Silvanovich ผู้เชี่ยวชาญด้านความมั่นคงปลอดภัยจาก Google Project Zero ได้พบช่องโหว่ที่ช่วยให้ผู้โทรสามารถได้รับแพ็กเกจของฝั่งผู้รับได้ก่อนรับสาย โดยมีหลายแอปพลิเคชันที่ได้รับผลกระทบนี้ประกอบด้วย Facebook Messenger, Google Duo, Signal, JioChat และ Mocha

Silvanovich ได้ค้นพบบั๊กในลอจิกของแอปพลิเคชันเหล่านั้น โดยเขาเล่าว่า “ผมได้ไล่ดู State Machine ของแอปพลิเคชันประชุมทางไกล 7 ตัวพบว่ามี 5 ตัวมีช่องโหว่ที่อนุญาตให้ผู้รับมีการส่งข้อมูลเสียงหรือวีดีโอกลับมาก่อนที่จะรับสาย” ซึ่งบั๊กในแอปพลิเคชันต่างๆ มีดังนี้

• Signal – มีการส่งเสียงกลับมาได้ ได้รับการแพตช์แล้วตั้งแต่กันยายน 2019
• Google Duo – เปิดเผยแพ็กเก็ตวีดีโอ แพตช์เมื่อธันวาคมที่ผ่านมา
• Facebook Messenger – มีการเชื่อมต่อเสียงก่อนกดรับ แพตช์แก้ไขแล้วในเดือนพฤศจิกายน
• JioChat – มีการเปิดเผยเสียงก่อนเช่นกัน แต่มีแพตช์แก้ไขแล้ว
• Mocha – มีการเปิดเผยทั้งเสียงและวีดีโอ โดยมีแพตช์แก้ไขแล้ว

อย่างไรก็ดีผู้เชี่ยวชาญไม่พบปัญหาในแอปอื่นอย่าง Viber และ Telegram แต่ตัวเขาเองยังไม่ได้ทดสอบกับฟีเจอร์ Group Calling ในแอปพลิเคชันต่างๆ ผู้สนใจสามารถอ่านเรื่องราวจากบล็อกของ Google ได้ที่ https://googleprojectzero.blogspot.com/2021/01/the-state-of-state-machines.html

ที่มา : https://www.bleepingcomputer.com/news/security/bugs-in-signal-facebook-google-chat-apps-let-attackers-spy-on-users/