beplay体育能用吗Webrtc DNS查找用巧妙的骇客利用
信号已经修补了安全性弱点移动的消息传递应用程序为攻击者创造了潜在的机制,以发现目标用户的大致位置。
这缺陷- 由安全研究人员在Tenable发现 - 影响了iOS和Android,并涉及移动消息应用程序对域名系统(DNS)服务器请求的处理。
分页信号
信号使用自己的叉子beplay体育能用吗webrtc(beplay体育能用吗Web实时通信)与远程同行设置语音或视频通话。
Tenable发现这项技术是可利用的,不是因为信号的核心代码中存在问题,而是由于Signal的WebRTC库如何制作beplay体育能用吗DNS在连接呼叫过程中的请求。
Tenable的高级研究工程师David Wells解释说:“这不是信号代码中的问题,而是WEBRTC库具有一些晦涩的功能,这些功能可以根据图书馆的使用方式滥用。beplay体育能用吗其他呼叫应用程序很可能有类似的问题。
“揭示信号用户的DNS服务器可能会揭示出粗略的位置,并且在诸如Google公共DNS和其他等实例中,由于使用的使用,此攻击可以缩小到信号用户城市的位置EDNS客户端子网。”
威尔斯告诉每日swbeplay2018官网ig:“这是Webrtc怪癖中的一个小监督。beplay体育能用吗自从我最初的披露以来,信号团队已接触到铬并提交了拟议的补丁。这些讨论正在进行中。”
信号的吸引力赢得了像爱德华·斯诺登(Edward Snowden)和布鲁斯·施尼尔(Bruce Schneier)这样的隐私冠军的赞誉,它建立在其优先级的隐私和安全方面。
因此,其技术的任何安全弱点,即使在这种情况下也是如此的较小滑倒,但仍值得注意。
其他消息传递应用程序可能很容易受到类似问题的影响,尽管仍然没有证实。
通过打电话粗糙的地理位置
利用此安全性弱点将简单地涉及呼叫任何信号用户并分析由此产生的呼叫设置流量中的线索,以揭示用户的大约位置,直到某些地区或某些情况下。
威尔斯说:“这种漏洞使任何人的信号电话号码都可以拨打他们的电话号码并随时获取粗略的位置信息。”
“无需接听电话,根据使用EDNS客户端子网的DNS,位置信息的范围从约400英里的半径到确切的城市,这在整个典型用户的手机使用过程中并不罕见。
“其他场景可能涉及检测ISP中的开关,这表明某人是'在家'还是'在工作中'。”
次要的安全性缺点不关心Signal的绝大多数用户群。然而,这个缺陷确实对特别脆弱的人构成了风险,例如在压迫性政权中运作的活动家和记者,以及躲藏在虐待伙伴或证人保护计划中的人们。
根据Tenable的说法,受影响的Android版本是信号v4.59.0及以上的信号,而对于IOS,受影响的WEBRTC更新是在3.8.0.34中引入的。beplay体育能用吗Tenable建议,最好的行动是更新信号的修补版。
每日swbeplay2018官网ig尚未听到Signal Developers的回音,以评论Tenable的研究。随着更多信息,我们将更新此故事。
