Odkrita (in že odpravljena) resna ranljivost v Signalu

Natalie Silvanovich, raziskovalka pri Google Project Zero je konec septembra odkrila resno napako v aplikaciji za varno sporočanje Signal. Napaka je napadalcu omogočala oddaljen vklop mikrofona pri uporabniku Signala in posledično prisluškovanje pogovorom v prostoru, kjer se nahaja telefon.

Za izrabo je bila potrebna prilagojena različica Signala, s katero je napadalec poklical na ciljni telefon. Če se klicana oseba ni oglasila, je napadalec lahko sprožil samodejni odgovor oz. samodejno vzpostavitev zveze s klicočim.

Logična napaka pri obravnavi klicev je bila omejena na platformo Android (na iOS se klic zaradi nepričakovanega zaporedja stanj klica zveza ni samodejno vzpostavila) in sicer zaradi omejitev tehnologije WebRTC.

Natalie Silvanovich je ranljivost javila razvijalcem Signala prejšnji teden, razvijalci pa so se odzvali v zgolj nekaj urah in napako z različico v4.47.7 odpravili.

Svoje telefone redno posodabljate?