ბაგის მეშვეობით შესაძლებელია მოწყობილობაზე მიკროფონის აქტივაცია და გარშემო საუბრების მოსმენა.
პოპულარული Signal მესენჯერის Android-ის ვერსიაშია გამოვლენილია ლოგიკური შეცდომა, რომლის გამოყენებითაც შესაძლებელია ჯაშუშური ქმედებების განხორციელება. სისუსტის მახასიათებელია, რომ ბოროტმოქმედს შეუძლია შემომავალი ზარის განხორციელება და ავტომატურად მასზე პასუხის გაცემა, რაც ხდება მომხმარებლის მონაწილეობის და თანხმობის გარეშე. ანუ, მოწყობილობაზე შესაძლებელია დისტანციურად მიკროფონის აქტივაცია და ტელეფონის გარშემო საუბრების მოსმენა.
სისუსტე ძალიან ჰგავს Apple FaceTime-ში აღმოჩენილ პრობლემას, რომელიც იყო გამოვლენილი ამა წლის იანვარში. შეცდომა ბოროტმოქმედს აძლევდა საშუალებას ზარზე ავტომატური პასუხის გაცემის შემდგომ მოესმინა საუბრები და კამერის გამოყენებით ენახა ყველაფერი რაც ხვდებოდა მის კადრში.
სისუსტე აღმოჩენილია Google Project Zero – ს თანამშრომლის Natalie Silvanovich – ის მიერ და დაკავშირებულია handleCallConnected მეთოდის რეალიზაციასთან, რომელიც პასუხისმგებელია გამოძახების საბოლოო დაკავშირებაზე.
სტანდარტულ სიტუაციაში handleCallConnected მუშავდება ორ შემთხვევაში. პირველი, როცა მომხმარებელი პასუხობს შემოსულ ზარს (შესაბამისი ღილაკით / ქმედებით). მეორე კი, როცა ზარი უკვე მიღებულია და ატარებს “დაკავშირების” ბრძანებას. მოდიფიცირებული კლიენტის მეშვეობით, ხდება შესაძლებელი მოწყობილობაზე “დაკავშირების” ბრძანების გატარება იქამდე, სანამ მომხმარებელი უპასუხებს შემოსულ ზარს.
ამგვარად ზარი პირდაპირ იქნება მიღებული მომხმარებლის თანხმობის გარეშე, აღნიშნავს სილანოვიჩი თავის განცხადებაში.
როგორც არის ცნობილი, ეს სისუსტე ვრცელდება მხოლოდ ხმოვან ზარზე და არ იმუშავებს ვიდეო ზარზე, რადგან Signal-ში ვიდეოს აქტივაციისთვის საჭიროა მასზე “ხელით” თანხმობის მიცემა. მიუხედავად იმისა, რომ პრობლემა ასევე არსებობს აპლიკაციის iOS ვერსიაშიც, რისკის ზონაში მაინც იმყოფება Android – ის მომხმარებელი. რადგან Apple – ის სმარტფონების მფლობელებზე ამ სისუსტის ექსპლუატირების მცდელობისას, სისტემაში ხდება შეცდომა და ზოგი ფუნქციის არევა.
აპლიკაციის მწარმოებლებმა მალევე განახორციელეს ამ სიახლეზე რეაგირება და გამოუშვეს გასწორებული ვერსია v4.48.13, რომელიც ხელმისაწვდომია GitHub-ზე: https://github.com/signalapp/Signal-Android/releases/tag/v4.48.13
