聚焦源代码安全,网罗国内外最新资讯!
著名的隐私通讯应用 Signal 的开发人员正在紧急修复安卓版本中的一个严重漏洞,它可导致攻击者窃听用户。
该漏洞 CVE-2019-17191 是由谷歌 Project Zero 团队的研究员 Natalie Silvanovich 发现的。9月末,Silvanovich 将问题告知 Signal,并在安卓4.47.7 中被快速修复。
攻击者可通过使用特殊构造的 Signal 客户端来利用该漏洞。该客户端向目标用户发起音频通话,一旦开始响铃,攻击者就会按下音频静音按钮,导致被呼叫设备接听通话。
Silvanovich 在漏洞报告中指出,攻击者无法强制应用回复视频通话。
该问题也同时影响 Signal iOS 版本。不过,Silvanovich 指出,在 iOS 版本中,“由于异常的状态序列引发 UI 错误,因此通话无法完成。”他建议“在两个客户端中都改进逻辑,因为UI问题很可能并非出现在所有情况中。”
漏洞详情遭曝光后,Signal 的创始人 Moxie Marlinspike 在推特上表示,该利用无法导致攻击者静默地启用目标设备的麦克风,受害者会从屏幕上看到一通正在进行中的通话,而该通话记录在 Signal 的会话列表中。
Silvanovich 在另外一份漏洞报告中披露称,Signal 在视频通话被回复前会处理实时传输协议包,使得恶意人员能够在无需用户交互的情况下利用 WebRTC 处理 RTP 包中的漏洞。WebRTC 是一款免费的开源项目,通过简单的 API 向移动应用提供实时通讯能力。
Silvanovich 指出,Signal 的开发人员将问题描述为“设计权衡”的结果,不打算在近期修复。不过,Marlinspike 表示,他对于改进 Signal 在 WebRTC 实现的安全改进建议持开放态度。
漏洞技术详情可见:
https://bugs.chromium.org/p/project-zero/issues/detail?id=1943
https://bugs.chromium.org/p/project-zero/issues/detail?id=1936
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的产品线。