يحتوي كل تطبيق تقريبا على ثغرات أمنية. بعضها قد تجده اليوم ولكن البعض الآخر سيظل غير مرئي إلى أن يعثر عليه شخص آخر ويستغلها. وهو الواقع القاسي للأمن السيبراني وحالته الحالية.
وعندما نقول هذا، فإن Signal Private Messenger – الذي يتم الترويج له باعتباره أحد أكثر التطبيقات أمانا في العالم – ليس استثناء. إذ اكتشف الباحث في Google Project Zero، ناتالي سيلفانوفيتش ثغرة أمنية منطقية في تطبيق مراسلة Signal لأجهزة Android والتي قد تسمح للمتصل الخبيث بفرض مكالمة للرد عليها في نهاية المتلقي دون الحاجة إلى تفاعله.
بمعنى آخر، يمكن استغلال الخلل لتشغيل الميكروفون لجهاز مستخدم Signal المستهدف والاستماع إلى جميع المحادثات المحيطة.
ومع ذلك، لا يمكن استغلال مشكلة عدم حصانة الإشارة إلا في حالة فشل جهاز الاستقبال في الرد على مكالمة صوتية عبر الإشارة. مما يؤدي في النهاية إلى الرد على المكالمة الواردة تلقائيا على جهاز المتلقي.
يوضح سيلفانوفيتش في مدونة Chromium : “في عميل Android، هناك طريقة معالجة CallConnected تؤدي إلى إنهاء المكالمة. أثناء الاستخدام العادي، يتم استدعاؤها في حالتين : عندما يقبل الجهاز المستدعي المكالمة أي عندما يختار المستخدم قبول، وعندما يقوم جهاز المتصل أنه يتلقى رسالة اتصال واردة تشير إلى أن المستدعي قد قبل المكالمة.”
باستخدام عميل معدل، يمكن إرسال رسالة الاتصال إلى جهاز سهل عندما تكون هناك مكالمة واردة قيد التقدم ولكن لم يتم قبولها من قبل المستخدم. هذا يتسبب في الرد على المكالمة على الرغم من أن المستخدم قام بالرد لا تتفاعل مع الجهاز.
تجدر الإشارة إلى أن “المكالمة المتصلة ستكون مكالمة صوتية فقط. حيث يحتاج المستخدم إلى تمكين الفيديو يدويا في جميع المكالمات.”
ذكر سيلفانوفيتش أيضا أن Signal بها سطح الهجوم البعيد الكبير بسبب القيود في WebRTC. كما أن خلل التصميم يؤثر أيضا على إصدار iOS من تطبيق المراسلة. ولكن لا يمكن استغلاله لأن المكالمة لم تكتمل بسبب خطأ في واجهة المستخدم الناجمة عن تسلسل غير متوقع من الدول.
وأبلغ سيلفانوفيتش هذا الضعف لفريق أمن Signal الأسبوع الماضي فقط.
وأكدت الشركة فريق الأمن Signal على الفور المشكلة وتصحيحها في غضون ساعات قليلة في نفس اليوم مع إصدار Signal for Android v4.47.7. لذا يجب تثبيت آخر تحديث متوفر لتطبيق Signal Private Messenger من متجر Google Play والتأكد من تشغيل التطبيقات الحديثة دائما على أجهزة Android و iOS.
المصدر:thehackernews