جزئیات جدید درباره فرآیند رفع چندین آسیب‌پذیری بحرانی در پیام‌رسان‌های صوتی و تصویری

۰۳ بهمن ۱۳۹۹

در ژانویه سال ۲۰۱۹ اطلاعاتی مربوط به یک آسیب‌پذیری بحرانی در گفت‌وگوهای گروهی برنامه FaceTime اپل منتشر شد که به کاربران اجازه می‌داد با وارد کردن شماره تلفن خود به عنوان شخص سوم در یک تماس صوتی، بتوانند حتی پیش از پذیرش تماس توسط دریافت‌کننده به مکالمات مخاطب تماس گوش دهند. این آسیب‌پذیری به اندازه‌ای جدی بود که شرکت اپل پیش از اصلاح آن قابلیت چت گروهی را به‌طور کلی از این برنامه حذف کرد.

از آن زمان تاکنون، نقص‌های متعدد دیگری توسط محققان امنیتی پروژه صفر گوگل (Google Project Zero) در پیام‌رسان‌های صوتی و تصویری از جمله سیگنال، جیوچت، موکا، گوگل دو و پیام‌رسان فیسبوک شناسایی شده است.

اگرچه امروزه اکثر برنامه‌های پیام‌رسان برای ارتباط به WebRTC متکی هستند، اما ارتباطات با مبادله اطلاعات تنظیم تماس با استفاده از SDP بین کاربران ایجاد می‌شود که به طور معمول با ارسال پیشنهاد SDP از طرف تماس گیرنده و ایجاد پاسخ SDP از طرف دریافت کننده تماس صورت می‌گیرد.

در واقع هنگامی که یک کاربر، تماس WebRTC را با دیگری آغاز می‌کند، اطلاعاتی به نام پیشنهاد "offer"، حاوی داده‌های مورد نیاز برای برقراری ارتباط را ارسال، و دریافت‌کننده تماس آن را با یک پاسخ "answer" حاوی توضیحات مربوط به پایانه دریافت تماس جواب می‌دهد.

با وجود اینکه انتظار می‌رود انتقال صدا و تصویر بعد از رضایت دریافت‌کننده تماس برای برقراری ارتباط صورت گیرد و داده‌ای به اشتراک گذاشته نشود، اما محققان خلاف این موضوع را مشاهده کرده‌اند که به عنوان آسیب‌پذیری‌های بحرانی در پیام‌رسانی‌های صوتی و تصویری شناخته می‌شوند.

این نقص‌ها نه‌تنها موجب برقراری ارتباط بدون نیاز به تعامل با دریافت‌کننده تماس می‌شوند، بلکه می‌توانند به تماس‌گیرنده اجازه دهند تا دستگاه دریافت‌کننده تماس را مجبور به انتقال داده صوتی یا ویدیویی کند.

در همین رابطه، پیام‌رسان سیگنال این نقص امنیتی در پروتکل تماس‌های صوتی خود را در نسخه اندروید این برنامه که به تماس‌گیرنده اجازه شنیدن صدای اطراف دریافت‌کننده تماس را پیش از پاسخ دادن می‌داد را در سپتامبر ۲۰۱۹ اصلاح کرده است.

همچنین جیوچت در جولای ۲۰۲۰، پیام‌رسان موکا در اوت ۲۰۲۰، پیام‌رسان فیسبوک در نوامبر ۲۰۲۰و گوگل دو در دسامبر ۲۰۲۰ مشابه همین آسیب‌پذیری‌ها را برطرف کرده‌اند.

 

 

توضیحات بیشتر:

Google Details Patched Bugs in Signal, FB Messenger, JioChat Apps