Hampir setiap aplikasi mengandung kerentanan keamanan, beberapa di antaranya mungkin Anda temukan hari ini, tetapi yang lain akan tetap tidak terlihat sampai orang lain menemukan dan mengeksploitasinya — yang merupakan kenyataan pahit keamanan siber dan keadaan saat ini.
Dan ketika kita mengatakan ini, Signal Private Messenger —ditunjuk sebagai salah satu messenger paling aman di dunia — tidak terkecuali.
Peneliti Google Project Zero Natalie Silvanovich menemukan kerentanan logis dalam aplikasi pengiriman pesan untuk Android yang dapat memungkinkan penelepon jahat memaksa panggilan dijawab di ujung penerima tanpa memerlukan interaksinya.
Dengan kata lain, kelemahan tersebut dapat dieksploitasi untuk menghidupkan mikrofon perangkat pengguna Sinyal yang ditargetkan dan mendengarkan semua percakapan di sekitarnya.
Namun, kerentanan Sinyal hanya dapat dieksploitasi jika penerima gagal menjawab panggilan audio melalui Sinyal, akhirnya memaksa panggilan masuk untuk secara otomatis dijawab pada perangkat penerima.
"Di klien Android, ada metode handleCallConnected yang menyebabkan panggilan selesai terhubung. Selama penggunaan normal, itu disebut dalam dua situasi: ketika perangkat callee menerima panggilan ketika pengguna memilih 'accept,' dan ketika perangkat pemanggil menerima pesan "hubungkan" yang masuk yang menunjukkan bahwa callee telah menerima panggilan, "Silvanovich menjelaskan di blog Chromium.
"Menggunakan klien yang dimodifikasi, adalah mungkin untuk mengirim pesan" sambungkan "ke perangkat callee ketika panggilan masuk sedang berlangsung tetapi belum diterima oleh pengguna. Ini menyebabkan panggilan dijawab, meskipun pengguna memiliki tidak berinteraksi dengan perangkat. "
Untuk dicatat, "panggilan yang terhubung hanya akan menjadi panggilan audio, karena pengguna perlu mengaktifkan video secara manual di semua panggilan."
Silvanovich juga menyebutkan bahwa "Sinyal memiliki permukaan serangan jarak jauh yang besar ini karena keterbatasan di WebRTC," dan cacat desain juga memengaruhi versi iOS dari aplikasi perpesanan, tetapi tidak dapat dieksploitasi karena "panggilan tidak selesai karena kesalahan dalam UI disebabkan oleh urutan negara bagian yang tidak terduga. "
Silvanovich melaporkan kerentanan ini kepada tim keamanan Signal baru minggu lalu.
Tim keamanan Signal segera mengakui masalah ini dan menambalnya dalam beberapa jam pada hari yang sama dengan rilis Signal for Android v4.47.7 , perusahaan mengkonfirmasi The Hacker News.
Apa pendapat Anda? Izinkan saya menuliskannya untuk Anda lagi — buka dan instal pembaruan terbaru yang tersedia dari aplikasi Messenger Pribadi dari Google Play Store dan pastikan Anda selalu menjalankan aplikasi terbaru di perangkat Android dan iOS Anda.
Sumber Artikel : TheHackerNews
