Big Lausch-Call : Android 용 신호가 자동으로 전화를 받음

Big Lausch-Call : Android 용 신호가 자동으로 전화를 받음

안드로이드의 메신저 신호에 구멍이 생겨 사용자가 듣게됩니다. 앱은 사용자 상호 작용없이 음성 전화를받습니다.

메신저 앱 신호의 취약성으로 인해 Android 버전은 사용자가 명시 적으로 전화를받지 않고 음성 통화에 응답합니다. 악의적 인 발신자가 자신의 피해자를 눈에 띄지 않게들을 수 있습니다. 구글 프로젝트 제로의 보안 연구원 나탈리 실 바노비치는 그 격차를 공개했다. 한편, 오류가 수정 된 업데이트도 있습니다.

앱의 논리 오류
어떻게 Silvanovich 쓰기 , 그녀의 논리 오류가 신호를 원하지 않는 통화를 가능하게 감지합니다. 이 방법은 handleCallConnected일반적으로 통화 설정을 완료합니다. 한편으로, 착신자가 "수락"을 누를 때, 그리고 다른 한편으로, 발신자가 전화 수락의 결과로 "연결"메시지를 수신 할 때 호출된다. 그러나 수정 된 클라이언트가 통화 설정 중에이 "연결"메시지를 수신자에게 보내면 신호 클라이언트는 사용자가 개입하지 않아도 통화를받습니다.

화상 통화는 항상 사용자 확인이 필요하므로 Silvanovich는 음성 통화에만 사용할 수 있습니다. 전화를 걸 때 음향 신호가 있지만 사용자가 소리를 듣거나들을 수 있습니다. 결과적으로 원치 않는 도청이 발생할 수 있습니다. 또한 공격자는 메시지를 빨리 보낼 수 있으므로 오래 걸리지 않습니다. Twitter의 Silvanovich는 설명합니다.

보안 연구원은 iOS 클라이언트에서 논리 문제를 발견했지만 사용자 인터페이스의 실수로 인해 통화 설정이 완료되지 않았다는 사실이 밝혀졌습니다. 그녀는 모든 상황에서 UI 오류가 발생하지 않을 수 있으므로 두 클라이언트 버전 모두에서 수정 된 버그를보고 싶어합니다. 실 바노비치는 이미 2018 년 메신저 WhatsApp 의 치명적인 취약점을 밝혀 냈습니다. 올해 7 월이 되어서야 그녀는 애플의 뉴스 앱인 iMessage에서 때때로 중요한 격차 를 지적했다 .

Google Play 스토어 에서 업데이트가 더 이상 공백이 없다는 신호 를 받을 준비가되었습니다 . 사용자는 소프트웨어를 즉시 업데이트해야합니다.