একাধিক মোবাইল ভিডিও কনফারেন্সিং অ্যাপ্লিকেশনগুলিতে পাওয়া দুর্বলতাগুলি আক্রমণকারীদের অন্য প্রান্তের ব্যক্তি কলের উত্তর দেওয়ার আগে অনুমোদন ছাড়াই ব্যবহারকারীদের আশেপাশে শুনতে দেয়৷
সিগন্যাল, গুগল ডুও, ফেসবুক মেসেঞ্জার, জিওচ্যাট এবং মোচা মেসেজিং অ্যাপে বাগ পাওয়া গেছে এবং এখন ঠিক করা হয়েছে।
যাইহোক, প্যাচ করার আগে, তারা কোড চালানোর প্রয়োজন ছাড়াই আক্রমণকারীদের ডিভাইসে অডিও স্ট্রিম করার জন্য নির্দিষ্ট ডিভাইসগুলিকে বাধ্য করা সম্ভব করেছিল।
'আমি সাতটি ভিডিও কনফারেন্সিং অ্যাপ্লিকেশনের সিগন্যালিং স্টেট মেশিন অধ্যয়ন করেছি এবং পাঁচটি দুর্বলতা খুঁজে পেয়েছি যা একটি কলিং ডিভাইসকে একটি কলিং ডিভাইসকে অডিও বা ভিডিও ডেটা প্রেরণ করতে বাধ্য করতে পারে,' ব্যাখ্যা করেছেন গুগল প্রজেক্ট জিরোর নিরাপত্তা গবেষক নাটালি সিলভানোভিচ৷ .
'তাত্ত্বিকভাবে, অডিও বা ভিডিও স্ট্রিম করার আগে কলার সম্মতি প্রদান করা পিয়ার-টু-পিয়ার সংযোগে ট্র্যাক যুক্ত করার আগে ব্যবহারকারী কলটি গ্রহণ না করা পর্যন্ত অপেক্ষা করার একটি মোটামুটি সহজ বিষয় হওয়া উচিত।
'তবে, যখন আমি প্রকৃত অ্যাপগুলো দেখেছিলাম, তারা বিভিন্ন উপায়ে স্ট্রিমিংয়ের অনুমতি দিয়েছে। তাদের বেশিরভাগই দুর্বলতার দিকে পরিচালিত করে যা প্রাপকের মিথস্ক্রিয়া ছাড়াই কলগুলিকে সংযোগ করতে দেয়।'
আমি লজিক ত্রুটি খুঁজে পেয়েছি যা সিগন্যাল, ডুও এবং Facebook মেসেঞ্জার সহ পাঁচটি মোবাইল অ্যাপে ব্যবহারকারীর সম্মতি ছাড়াই অডিও বা ভিডিও স্ট্রিম করার অনুমতি দেয়। https://t.co/PlB0PzLzjJ
- নাটালি সিলভানোভিচ (@নাটাশেঙ্কা) জানুয়ারী 19, 2021
সিলভানোভিচ যেমন প্রকাশ করেছে, এ সংকেত ত্রুটি সেপ্টেম্বর 2019-এ প্যাচ করা ব্যবহারকারীর ইন্টারঅ্যাকশন ছাড়াই অন্য উপায়ে কল করার পরিবর্তে কলিং ডিভাইসগুলি থেকে সংযোগ বার্তা পাঠিয়ে অডিও কলটি সংযুক্ত করার অনুমতি দেয়।
দ্য Google Duo বাগ , একটি রেস শর্ত যা কলকারী দলগুলিকে মিসড কল ভিডিও প্যাকেটগুলি কলারের কাছে ফাঁস করার অনুমতি দেয়, 2020 সালের ডিসেম্বরে সমাধান করা হয়েছিল, যখন ফেসবুক মেসেঞ্জারে ত্রুটি (পূর্বে এখানে BleepingComputer দ্বারা আচ্ছাদিত) যা নভেম্বর 2020 এ কলটির উত্তর দেওয়ার আগে অডিও কলগুলিকে সংযোগ করার অনুমতি দেয়।
2020 সালের জুলাই মাসে JioChat এবং Mocha মেসেঞ্জারে দুটি অনুরূপ দুর্বলতা আবিষ্কৃত হয়েছিল, বাগ যা এটির অনুমতি দেয় JioChat অডিও পাঠানো হচ্ছে (জুলাই 2020 এ সেট) এবং ক অডিও এবং ভিডিও পাঠান Mocha (আগস্ট 2020 এ সমাধান করা হয়েছে) শোষণের পরে, ব্যবহারকারীর সম্মতি ছাড়াই।
সিলভানোভিচ টেলিগ্রাম এবং ভাইবার সহ অন্যান্য ভিডিও কনফারেন্সিং অ্যাপগুলিতেও অনুরূপ বাগগুলি সন্ধান করেছিলেন, কিন্তু কোনও সমস্যা খুঁজে পাননি।
'আমি পরীক্ষা করা বেশিরভাগ কল স্টেট মেশিনে যৌক্তিক দুর্বলতা ছিল যা কলারের সম্মতি ছাড়াই অডিও বা ভিডিও সামগ্রী এক ব্যক্তি থেকে অন্য ব্যক্তির কাছে প্রেরণ করতে দেয়,' সিলভানোভিচ অতিরিক্ত .
'এটাও লক্ষণীয় যে আমি এই অ্যাপ্লিকেশনগুলির গ্রুপ কলিং বৈশিষ্ট্যগুলি বিশ্লেষণ করিনি এবং সমস্ত রিপোর্ট করা দুর্বলতাগুলি পিয়ার-টু-পিয়ার কলিংয়ে পাওয়া গেছে। এটি একটি ভবিষ্যতের কর্মক্ষেত্র যা আরও সমস্যা প্রকাশ করতে পারে।'
সিলভানোভিচ হোয়াটসঅ্যাপ মোবাইল মেসেজিং অ্যাপে একটি গুরুতর দুর্বলতাও খুঁজে পেয়েছেন যা কেবলমাত্র একজন ব্যবহারকারী অ্যাপটিকে সম্পূর্ণরূপে ফ্রিজ বা আপস করার জন্য একটি কলের উত্তর দেওয়ার দ্বারা ট্রিগার হতে পারে।
আপনি কি মনে করেন?