В мессенджере Signal обнаружена критическая уязвимость
Исследователь в области информационной безопасности из Google Project Zero – Натали Сильванович (Natalie Silvanovich), обнаружила уязвимость в мессенджере, связанную с методом handleCallConnected, отвечающим за конечное соединение вызова.
Данная ошибка была обнаружена в Android версии приложения Signal (защищенный мессенджер, позиционирующий себя как приложение для ведение конфиденциальных переговоров). Эксплуатация уязвимости заключается в том, что хакер может произвести вызов на устройство на базе Android внутри приложения Signal и автоматически ответить на него без согласия пользователя – владельца. Тем самым злоумышленник получает удаленный доступ к микрофону жертвы.
Данный метод работает исключительно для аудиовызовов, в случае видеозвонков метод не подходит.
На текущий момент разработчики Signal не только уже получили уже уведомление о найденной уязвимости, но и уже исправили её.