כשל בתוכנת סיגנל מאפשר האזנת נפח בלי התערבות משתמש

חוקרת בגוגל בשם נטלי סילבנוביץ', גילתה פגיעות לוגית באפליקציית העברת ההודעות Signal עבור אנדרואיד, העלולה לאפשר למתקשר הזדוני לענות לשיחה בלי התערבות משתמש. במילים אחרות, ניתן היה לנצל את הפגם כדי להפעיל את המיקרופון של המכשיר מרחוק ולהאזין לכל השיחות סביבו. המתקפה מנצלת שיטה בשם handleCallConnected.

עם זאת, ניתן לנצל את הפגיעות רק אם יש שיחה נכנסת, אבל המשתמש לא לחץ לענות. "באמצעות גרסת תוכנה מטופלת ניתן לשלוח את הודעת ה"חיבור" (connect) למכשיר הקורבן כאשר מתקיים ניסיון לשיחה נכנסת אך השיחה טרם נענתה על ידי המשתמש. פעולה זו גורמת לענות לשיחה, למרות שהמשתמש לא נגע במכשיר", מסבירה החוקרת. 

"השיחה המחוברת תהיה שיחת שמע בלבד, שכן המשתמש צריך להפעיל ידנית וידאו בכל השיחות. לקליינט iOS יש בעיה לוגית דומה, אך השיחה לא הושלמה בגלל שגיאה בממשק המשתמש שנגרם כתוצאה מרצף המצבים הלא צפוי. אני ממליצה לשפר את הלוגיקה בשתי הגרסאות, מכיוון שייתכן שבעיית ממשק המשתמש אינה מתרחשת בכל הסיטואציות."

אולי יעניין אותך גם

זירת ההתרסקות של המטוס. צילום: AP

רוסיה מגינה על איראן: "היה איום אמריקני שהביא להפלת המטוס"

שר החוץ הרוסי סרגיי לברוב התייחס להפלת המטוס האוקראיני בידי איראן, וסיפק הסברים על הנסיבות שהובילו ליירוט הטראגי של מטוס הנוסעים. "באזור טסו שישה מטוסי חמקן F-35 אמריקניים, והאיראנים היו מלאי חששות מפני תקיפה אמריקנית נוספת", אמר לברוב