Местоположение пользователей Signal можно отследить по звонку

Исследователь Дэвид Уэллс (David Wells) из компании Tenable обнаружил уязвимость ( CVE-2020–5753 ) в защищенном мессенджере Signal, эксплуатация которой позволят злоумышленнику отслеживать местоположение пользователя.

Для отслеживания перемещения пользователя преступнику достаточно просто осуществить звонок в мессенджере Signal. По словам Уэллса, если два пользователя Signal добавили друг друга в контактах, они могут определить местоположение и IP-адрес друг друга путем простого звонка, даже если пользователь не отвечает на звонок. Однако даже если звонящего нет в списке контактов, он все равно может определить приблизительное местоположение пользователя, просто позвонив в мессенджере.

«Суть проблемы в том, что пользователи оказываются беспомощными перед подобным методом», — отметил специалист.

Signal использует собственный форк WebRTC для осуществления звонков. В качестве защитной меры приложение не отправляет публичный/закрытый IP-адрес в случае,если пользователь получает звонок от абонента, не находящегося в списке контактов. Кроме того, при желании пользователь может скрыть публичный/закрытый IP-адрес, выбрав соответствующую опцию. Вместо IP-адреса пользователя Signal отправит IP-адреса ближайшего Signal TURN сервера.

Весь процесс происходит до того, как пользователь ответит на звонок и, как выяснил Уэллс, это возможно использовать для того, чтобы узнать некоторую информацию о звонящем, даже если он скрыл свой IP-адрес. Проблема затрагивает версии Signal 4.59.0 и старше для Android и версию Signal 3.8.0.34 для iOS.

Разработчики Signal уже выпустили исправления для уязвимости и обновленные версии мессенджера доступны в магазинах Google Play Store и Apple App Store.

WebRTC (Web Real Time Communications) — проект с открытым исходным кодом, предназначенный для организации передачи потоковых данных между браузерами или другими поддерживающими его приложениями по технологии точка-точка.