Verschillende kwetsbaarheden in chatapps Signal, Facebook Messenger, Google Duo, JioChat en Mocha maakten het mogelijk om gebruikers te bespioneren. De beveiligingslekken, die vorig jaar al werden verholpen, zijn gevonden door onderzoeker Natalie Silvanovich van Google Project Zero. Ze heeft nu een uitgebreide analyse van de gevonden problemen openbaar gemaakt.
De kwetsbaarheden in de "signalling state" van de chatapps, het proces dat komt kijken bij het opzetten van een gesprek, maakten het mogelijk voor een aanvaller om de microfoon en camera van het slachtoffer in te schakelen, zonder dat die hiervoor iets hoefde te doen. Zo kon de omgeving van het slachtoffer worden afgeluisterd of gefilmd.
"In theorie zou het vrij eenvoudig moeten zijn dat er pas audio of video wordt doorgegeven wanneer de gebelde persoon opneemt", laat Silvanovich weten. "Wanneer ik echter naar echte applicaties keek bleken ze de transmissie op allerlei verschillende manieren mogelijk te maken. Veel van deze manieren zorgden voor kwetsbaarheden waardoor gesprekken konden worden opgezet zonder interactie van de gebelde persoon."
In het geval van Signal gebruikte Silvanovich hiervoor een aangepaste Androidversie van de Signal-app. Daarmee was het mogelijk om een audioverbinding met het slachtoffer op te zetten, zonder dat die het inkomende gesprek hoefde te accepteren. De iOS-versie beschikte over een zelfde probleem, maar daar lukte het door een fout in de gebruikersinterface niet om de aanval uit te voeren. De kwetsbaarheid werd in september 2019 door Signal verholpen.
In Facebook Messenger vond Silvanovich vorig jaar oktober een kwetsbaarheid die een soortgelijke aanval mogelijk maakte. Wederom kon er een audioverbinding worden opgezet zonder dat het slachtoffer moest opnemen. Facebook verhielp het probleem in november. Een aanvaller kon bij gebruikers van Google Duo een videostream inschakelen en zo ongemerkt meekijken, ontdekte de onderzoeker in september. Hierbij werd echter geen audio doorgegeven. Google kwam in december met een oplossing.
Naast de bovengenoemde chatapplicaties keek Silvanovich ook naar Viber en Telegram, maar ontdekte daar geen problemen. Ze vraagt zich af waarom dergelijke kwetsbaarheden zo vaak bij chatapps voorkomen. Ze vermoedt dat de oorzaak ligt een gebrek aan bewustzijn over dit soort beveiligingslekken en de complexiteit die komt kijken bij het opzetten van gesprekken tussen gebruikers van chatapps.
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Junior specialist OSINT
Ben jij enthousiast en leergierig en wil je het cybercrimeteam Oost Nederland verder helpen in de aanpak van digitale criminaliteit? We zijn op zoek naar een junior specialist Open Source Intelligence (OSINT). Weet jij de digitale wereld van buiten naar binnen te halen? Dan is deze functie iets voor jou!
Juridische vraag: ik las in het FD dat concurrenten de AVG niet tegen elkaar in konden zetten. Maar het is toch oneerlijke ...
Een digitaal paspoort, recht op een betaalbare en snelle internetverbinding, 'digitale inburgering' of digitaal stemmen, het ...
Wanneer je hieronder het e-mailadres van je account opgeeft wordt er een nieuwe activatielink naar je gestuurd. Deze link kun je gebruiken om een nieuw wachtwoord in te stellen.
Wanneer je het juiste e-mailadres hebt opgegeven ontvang je automatisch een nieuwe activatielink. Deze link kan je gebruiken om een nieuw wachtwoord in te stellen.
Geef je e-mailadres op en kies een alias van maximaal 30 karakters.
Je hebt je succesvol aangemeld. Voordat je je account kunt gebruiken moet deze eerst geactiveerd worden. Dit kan je zelf doen middels de activatielink die naar het opgegeven e-mailadres is verstuurd.