>According to sources in the infosec community, serious vulnerabilities like these have been known for years and reported to Microsoft earlier but remain unpatched.
BleepingComputer reached out to Microsoft to learn if they knew of the bug already and if they would fix the bug.
“Microsoft has a customer commitment to investigate reported security issues and we will provide updates for impacted devices as soon as possible,” a Microsoft spokesperson told BleepingComputer.
BleepingComputer reached out to Microsoft to learn if they knew of the bug already and if they would fix the bug.
“Microsoft has a customer commitment to investigate reported security issues and we will provide updates for impacted devices as soon as possible,” a Microsoft spokesperson told BleepingComputer.
https://googleprojectzero.blogspot.com/2021/01/the-state-of-state-machines.html
ААААААААААА
Короче говоря: по нормальному, при использовании WebRTC для аудио/видео связи инициацию аудиопотока не начинают до того как юзер не снимет трубку, а в идеале подвязывают к разрешению доступа к записывающему девайсу (т.е. чтобы никаких данных никуда не передавалось без явного согласия юзера) В некоторых мессенджерах умники решили ускорить блять процесс и начинали передачу аудиопотока еще до того, как чувак снял трубку. В итоге модифицированный клиент на другом конце, используя эту уязвимость, мог получать доступ к микрофону без ведома пользователя.
ААААААААААА
Короче говоря: по нормальному, при использовании WebRTC для аудио/видео связи инициацию аудиопотока не начинают до того как юзер не снимет трубку, а в идеале подвязывают к разрешению доступа к записывающему девайсу (т.е. чтобы никаких данных никуда не передавалось без явного согласия юзера) В некоторых мессенджерах умники решили ускорить блять процесс и начинали передачу аудиопотока еще до того, как чувак снял трубку. В итоге модифицированный клиент на другом конце, используя эту уязвимость, мог получать доступ к микрофону без ведома пользователя.
Blogspot
The State of State Machines
Posted by Natalie Silvanovich, Project Zero On January 29, 2019, a serious vulnerability was discovered in Group FaceTime which allowed an ...
//Но кстати у них прикольная фича детекта съемки экрана смартфоном через вебку)
Forwarded from TJ
20% запросов к хранилищу файлов «Викисклад» приходятся на одно и то же фото цветка — инженеры выяснили, что трафик идёт от индийского приложения, набравшего популярность в стране после блокировки тиктока.
При этом приложение не отображает картинку, а отправляет к ней запрос во время запуска.
https://tjournal.ru/internet/337806
При этом приложение не отображает картинку, а отправляет к ней запрос во время запуска.
https://tjournal.ru/internet/337806