Messenger, Google Duo 및 Signal과 같은 메시징 소프트웨어에서 새로 발견된 취약점으로 인해 사용자 녹음이 허용되었습니다.
Google 연구원 팀이 Messenger 및 Signal과 같이 가장 많이 사용되는 일부 인스턴트 메시징 앱의 취약점을 공개했습니다.
이것은 보안 전문가를 모아 프로그램과 인터넷의 문제와 버그를 찾는 Google 프로젝트인 Project Zero의 연구원이 발견한 것입니다. 예를 들어, Project Zero의 구성원은 역사상 가장 큰 프로세서 취약점을 발견했습니다.
연구원 Natalie Silvanovich가 7개의 인스턴트 메시징 응용 프로그램에서 발견한 버그는 공격자가 피해자가 아무 조치도 취하지 않고 피해자의 동의 없이 피해자의 장치를 사용하여 오디오 및 비디오를 녹음할 수 있게 했기 때문에 훨씬 더 위험할 수 있었습니다.
Google은 메시징 앱에서 심각한 버그를 발견했습니다.
조사는 지난 2019년 1월 iPhone의 버그로 인해 전화를 받기 전에 전화를 건 사람을 듣고 볼 수 있다는 것이 밝혀지면서 시작되었습니다.
Silvanovich에 따르면 이러한 심각한 취약점과 동시에 사용하기 쉬운 논리적 버그로 인해 다른 플랫폼에서 유사한 것을 찾을 수 있는지에 대해 생각하게 되었습니다.
그리고 실제로 통화 및 영상 통화를 허용하는 업계의 일부 메시징 앱을 검토한 후 많은 앱에 유사한 버그가 있음을 발견했습니다. 대부분의 메시징 앱이 두 엔터티 간의 연결을 허용하는 실시간 통신 표준인 WebRTC를 사용하기 때문입니다.
결과적으로 이러한 앱에는 몇 가지 보안 허점이 있었고 공격자는 사용자가 앱을 받기 전에 연결을 만들 수 있었습니다. 결과적으로 작동에 영향을 줄 뿐만 아니라 스마트폰에서 직접 오디오와 비디오를 녹음할 수 있었습니다.
Signal도 취약점의 영향을 받습니다.
영향을 받는 목록에 있는 앱 중 하나는 Signal로 최근 WhatsApp 또는 Telegram에 대한 보다 안전한 대안으로 제시되어 눈부신 성장을 이루었습니다. 이 경우 취약점으로 인해 공격자는 기기의 마이크를 통해 직접 들을 수 있었습니다. 앱이 전화를 건 사람을 확인하지 않았기 때문입니다. 이 문제는 2019년 9월에 게시된 업데이트 덕분에 해결되었습니다. 또한 Signal은 더 이상 WebRTC를 사용하여 연결하지 않습니다.
대조적으로 다른 앱은 버그를 수정하는 데 시간이 조금 더 걸렸습니다. 아이러니하게도 Google Duo는 2020년 12월 응답하지 않은 통화에서 비디오 데이터 패킷을 필터링하는 문제를 수정한 최신 버전이었습니다.
Facebook Messenger는 영향을 받는 또 다른 인기 있는 앱으로, 2020년 11월에 문제를 수정했습니다. 이 경우 공격자는 호출을 시작함과 동시에 대상에 메시지를 보내 앱이 화면에 호출을 표시하지 않고 공격자에게 소리를 보내기 시작하도록 할 수 있습니다.
Project Zero가 지금까지 이러한 문제를 공개하지 않기로 결정한 문제의 심각성에 대해 많은 것을 말해줍니다. Google은 수정 여부에 관계없이 90일 이내에 발견된 취약점을 게시한다는 매우 논란의 여지가 있는 정책으로 프로젝트를 시작했습니다. 예를 들어 Microsoft가 패치를 게시하기 전에 Windows 10S의 제한 사항을 우회하는 방법을 게시했을 때입니다.
그러나 이 사건은 구글이 자체 앱을 포함한 모든 앱이 패치될 때까지 기다릴 만큼 심각한 상황이었던 것으로 보인다.