ทีม Computer Emergency Response Team (CERT-UA) ของยูเครน แจ้งเตือนเกี่ยวกับการโจมตีในรูปแบบ highly targeted โดยใช้บัญชี Signal ที่ถูกโจมตีเพื่อส่งมัลแวร์ไปยังพนักงานของหน่วยงานกลาโหม และสมาชิกของกองทัพยูเครน (more…)

Natalie Silvanovich นักวิจัยด้านความปลอดภัยจาก Google Project Zero ได้พบช่องโหว่ในแอปพลิเคชัน Signal, Google Duo, Facebook Messenger, JioChat และ Mocha ซึ่งจะทำให้ผู้โทรสามารถรับฟังเสียงสภาพแวดล้อมที่อยู่รอบ ๆ ตัวของผู้รับได้โดยไม่ได้รับอนุญาตก่อนที่ผู้รับจะรับสาย โดยช่องโหว่ดังกล่าวได้รับการแก้ไขทั้งหมดแล้ว

Silvanovich ได้ค้นพบช่องโหว่ดังกล่าวในลอจิกของแอปพลิเคชันจากการตรวจสอบ State Machine ของแอปพลิเคชัน Video conference จำนวน 7 แอปและพบว่ามีจำนวน 5 แอปมีช่องโหว่ที่อนุญาตให้ผู้รับมีการส่งข้อมูลเสียงหรือวีดีโอกลับมาก่อนที่จะรับสาย

Silvanovich ได้ทำการเปิดเผยช่องโหว่ดังกล่าวและแอปพลิเคชัน Signal ซึ่งมีช่องโหว่การส่งเสียงกลับมาและได้ทำการแก้ไขช่องโหว่แล้วในเดือนกันยายน 2019 ส่วน Google Duo มีช่องโหว่การเปิดเผยแพ็กเกจวีดีโอถูกแก้ไขช่องโหว่แล้วในเดือนธันวาคม 2020 ที่ผ่านมา Facebook Messenger มีช่องโหว่ในการเชื่อมต่อเสียงก่อนผู้รับกดรับและถูกแก้ไขแล้วในเดือนพฤศจิกายน 2019 ส่วน JioChat และ Mocha messengers มีช่องโหว่การเปิดเผยทั้งเสียงและวีดีโอและถูกแก้ไขแล้วในเดือนกรกฎาคม 2020

ทั้งนี้ Silvanovich ยังได้มองหาช่องโหว่ที่คล้ายกันในแอปพลิเคชัน Video Conference อื่น ๆ รวมถึง Telegram และ Viber แต่ไม่พบปัญหาดังกล่าว

ที่มา: bleepingcomputer