Kerentanan yang terdapat dalam pelbagai aplikasi telesidang membolehkan penyerang untuk mendengar persekitaran pemanggil tanpa pengetahuan mereka, sebelum panggilan diterima.
Pepijat berkenaan telah dijumpai oleh seorang penyelidik keselamatan dari Google Project Zero, Natalie Silvanovich dalam aplikasi sembang termasuk Signal, Facebook Messenger, Google Duo, JioChat dan Mocha.
Semua kerentanan pepijat berkenaan telah pun dibaikpulih. Bagaimanapun, sebelum menerima tampalan keselamatan, terdapat kemungkinan ia membolehkan peranti sasaran untuk menghantar data audio atau video kepada peranti penyerang tanpa memerlukan sebarang kod.
I found logic bugs that allow audio or video to be transmitted without user consent in five mobile applications including Signal, Duo and Facebook Messenger https://t.co/PlB0PzLzjJ
— Natalie Silvanovich (@natashenka) January 19, 2021
Secara teorinya, penghantaran audio dan video hanya akan diaktifkan jika panggilan tersebut mempunyai interaksi dengan penerima. Bagaimanapun, menurutnya,
“However, when I looked at real applications they enabled transmission in many different ways. Most of these led to vulnerabilities that allowed calls to be connected without interaction from the callee.“
Bagi aplikasi Signal, kerentanan ini telah pun dibaik pulih pada September 2019. Sementara itu, pepijat pada Google Duo dan Facebook Messenger masing-masing telah dibaik pulih pada Disember 2020 dan November 2020.
Sumber: Twitter via Bleeping Computer