Błąd w aplikacji Signal na system Android pozwalał hakerom odbierać połączenia głosowe w komunikatorze – bez zgody ani wiedzy użytkowników. Problem został wykryty pod koniec września przez ekspertów z zespołu Project Zero Google’a.
Signal to opracowana przez Open Whisper Systems szyfrowana aplikacja na urządzenia mobilne z systemem Android i iOS (dostępna jest również wersja desktopowa – dla Linuksa, macOS i Windows). Umożliwia wykonywanie połączeń głosowych i wideo oraz wysyłanie wiadomości multimedialnych – indywidualnych i grupowych.
Do tej pory komunikator ten cieszył się sporą popularnością ze względu na rzekome bezpieczeństwo, które miał zapewniać użytkownikom. Zachwalał go sam Edward Snowden! Ostatnie doniesienia mogą jednak podkopać zaufanie osób, które korzystały z tej aplikacji. Jak bowiem ujawnili specjaliści z Project Zero Google’a, błąd w Singalu umożliwiał zdalne włączenie mikrofonu bez udziału ani wiedzy ofiary.
Wikimedia Commons
Tym samym cyberprzestępcy mogli wykorzystać aplikację do podsłuchiwania konkretnych osób – jedyne, co musieli zrobić, to wykonać połączenie głosowe. Bez żadnej aktywności ze strony użytkownika uruchamiało ono mikrofon w telefonie, z którego miało zostać odebrane – jeszcze przed rozpoczęciem rozmowy.
Według ekspertów podatność dotyczy połączeń głosowych w Signalu. Połączenia wideo są bezpieczne, ponieważ wymagają od odbiorcy ręcznej aktywacji kamery.
Operator komunikatora zapewnia, iż luka została naprawiona w wersji 4.47.7 aplikacji i zaleca jak najszybszą aktualizację komunikatora.
Jak podał The Next Web ocenia, błąd w oprogramowaniu Signala jest podobny do tego, który jakiś czas temu ujawniono w Apple’owskim komunikatorze FaceTime. Tamten również pozwalał na podsłuchiwanie użytkowników za pomocą połączeń przychodzących, które umożliwiały zdalne przejęcie mikrofonu.
Żadna z powyższych sytuacji nie będzie miała miejsca przy użyciu aplikacji UseCrypt.
AJ
Źródło: The Next Web
