Ditemukan Bug Signal Messenger Sangat Berbahaya?

Posting : 06 Oct 2019



Setiap aplikasi mengandung kerentanan keamanan, beberapa di antaranya mungkin Anda temukan hari ini, tetapi yang lain akan tetap tidak terlihat sampai orang lain menemukan dan mengeksploitasinya yang merupakan kenyataan pahit keamanan siber dan keadaan saat ini.

Dan ketika kita mengatakan ini, Signal Private Messenger dipromosikan sebagai salah satu messenger paling aman di dunia tidak terkecuali.

Peneliti Google Project Zero Natalie Silvanovich menemukan kerentanan logis dalam aplikasi pengiriman pesan untuk Android yang dapat memungkinkan penelepon jahat memaksa panggilan dijawab di ujung penerima tanpa memerlukan interaksinya.

Dengan kata lain, kelemahan tersebut dapat dieksploitasi untuk menghidupkan mikrofon perangkat pengguna Sinyal yang ditargetkan dan mendengarkan semua percakapan di sekitarnya.

Namun, kerentanan Sinyal hanya dapat dieksploitasi jika penerima gagal menjawab panggilan audio melalui Sinyal, akhirnya memaksa panggilan masuk untuk secara otomatis dijawab pada perangkat penerima.

    "Pengguna Android, ada metode handleCallConnected yang menyebabkan panggilan selesai terhubung. Selama penggunaan normal, itu disebut dalam dua situasi ketika perangkat callee menerima panggilan ketika pengguna memilih 'accept,' dan ketika perangkat pemanggil menerima pesan "hubungkan" yang masuk yang menunjukkan bahwa callee telah menerima panggilan, " Silvanovich menjelaskan di blog Chromium.


    "Menggunakan pengguna yang dimodifikasi, adalah mungkin untuk mengirim pesan "tersambung" ke perangkat callee ketika panggilan masuk sedang berlangsung tetapi belum diterima oleh pengguna. Ini menyebabkan panggilan dijawab, meskipun pengguna tidak berinteraksi dengan perangkat. "


Perlu dicatat bahwa, "panggilan yang terhubung hanya akan menjadi panggilan audio, karena pengguna perlu mengaktifkan video secara manual di semua panggilan."

Silvanovich juga menyebutkan bahwa "Sinyal memiliki permukaan serangan jarak jauh yang besar ini karena keterbatasan di WebRTC," dan cacat desain juga memengaruhi versi iOS dari aplikasi perpesanan, tetapi tidak dapat dieksploitasi karena "panggilan tidak selesai karena kesalahan dalam User Interface (UI) disebabkan oleh urutan negara bagian yang tidak terduga. "

Silvanovich melaporkan kerentanan ini kepada tim keamanan Signal baru minggu lalu.

Tim keamanan Signal segera mengakui masalah ini dan menambalnya dalam beberapa jam pada hari yang sama dengan rilis Signal for Android v4.47.7.