Lỗ hổng bảo mật trong Signal Messenger cho phép tin tặc tự động bắt máy cuộc gọi đến trên thiết bị của nạn nhân mà người dùng không hay biết - Cyber Security 365

Breaking News

Lỗ hổng bảo mật trong Signal Messenger cho phép tin tặc tự động bắt máy cuộc gọi đến trên thiết bị của nạn nhân mà người dùng không hay biết

Signal Private Messenger, một trong những ứng dụng được quảng bá là một ứng dụng nhắn tin an toàn nhất trên thế giới, đang tồn tại một lỗ hổng bảo mật nghiêm trọng.




Lỗ hổng bảo mật trong Signal Messenger cho phép tin tặc tự động bắt máy cuộc gọi đến trên thiết bị của nạn nhân mà người dùng không hay biết - CyberSec365.org
Lỗ hổng bảo mật trong Signal Messenger cho phép tin tặc tự động bắt máy cuộc gọi đến trên thiết bị của nạn nhân mà người dùng không hay biết - CyberSec365.org
Cụ thể, theo Natalie Silvanovich, một nhà nghiên cứu bảo mật thuộc nhóm bảo mật Project Zero của Google, cho biết ông đã phát hiện ra một lỗ hổng logic trong ứng dụng nhắn tin bảo mật Signal cho Android, có thể cho phép tin tặc buộc người dùng trả lời các cuộc gọi đến trên thiết bị của mình mà không cần bất kỳ tương tác nào của nạn nhân.
Nói cách khác, lỗ hổng bảo mật này có thể được tin tặc khai thác để bật micrô của thiết bị chứa ứng dụng Signal được nhắm mục tiêu và lắng nghe tất cả các cuộc hội thoại xung quanh.
Tuy nhiên, lỗ hổng này chỉ có thể được khai thác nếu người nhận không trả lời cuộc gọi audio qua ứng dụng nhắn tin Signal, cuối cùng, tin tặc buộc cuộc gọi đến phải được tự động trả lời trên thiết bị của người nhận.
Theo giải thích của Silvanovich, trong ứng dụng Signal cho Android, có một phướng thức có tên gọi handleCallConnected giúp kết thúc kết nối cuộc gọi, Trong quá trình sử dụng bình thường, phương thức này được gọi trong hai tình huống: khi thiết bị chấp nhận cuộc gọi đến và khi thiết bị gọi nhần được thông báo kết nối cho biết đối phướng đã nhận cuộc gọi.
Do đó, đối với lỗ hổng này, khi cuộc gọi đang diễn ra nó sẽ tự động được kết nối mặc dù người dùng hoàn toàn không nhấn chấp nhận cuộc gọi.
Cần lưu ý, "cuộc gọi được kết nối sẽ chỉ là cuộc gọi âm thanh, vì người dùng cần kích hoạt video theo cách thủ công trong tất cả các cuộc gọi."
Silvanovich đã báo cáo lỗ hổng này cho nhóm bảo mật Signal vào tuần trước. Ngay sau đó, nhóm bảo mật của Signal đã thừa nhận sự cố và vá nó trong vài giờ làm việc bằng cách phát hành bản cập nhật Signal v4.47.7 cho Android.
Hiện tại, người dùng nên lập tức cài đặt bản cập nhật mới nhất của ứng dụng Signal Private Messenger từ Google Play Store và đảm bảo bạn luôn chạy các ứng dụng cập nhật trên thiết bị Android và iOS của mình.
Đại Phát (Theo THN)



Không có nhận xét nào