https://googleprojectzero.blogspot.com/2021/01/the-state-of-state-machines.html
ААААААААААА
Короче говоря: по нормальному, при использовании WebRTC для аудио/видео связи инициацию аудиопотока не начинают до того как юзер не снимет трубку, а в идеале подвязывают к разрешению доступа к записывающему девайсу (т.е. чтобы никаких данных никуда не передавалось без явного согласия юзера) В некоторых мессенджерах умники решили ускорить блять процесс и начинали передачу аудиопотока еще до того, как чувак снял трубку. В итоге модифицированный клиент на другом конце, используя эту уязвимость, мог получать доступ к микрофону без ведома пользователя.
ААААААААААА
Короче говоря: по нормальному, при использовании WebRTC для аудио/видео связи инициацию аудиопотока не начинают до того как юзер не снимет трубку, а в идеале подвязывают к разрешению доступа к записывающему девайсу (т.е. чтобы никаких данных никуда не передавалось без явного согласия юзера) В некоторых мессенджерах умники решили ускорить блять процесс и начинали передачу аудиопотока еще до того, как чувак снял трубку. В итоге модифицированный клиент на другом конце, используя эту уязвимость, мог получать доступ к микрофону без ведома пользователя.
Blogspot
The State of State Machines
Posted by Natalie Silvanovich, Project Zero On January 29, 2019, a serious vulnerability was discovered in Group FaceTime which allowed an ...
//Но кстати у них прикольная фича детекта съемки экрана смартфоном через вебку)
Forwarded from TJ
20% запросов к хранилищу файлов «Викисклад» приходятся на одно и то же фото цветка — инженеры выяснили, что трафик идёт от индийского приложения, набравшего популярность в стране после блокировки тиктока.
При этом приложение не отображает картинку, а отправляет к ней запрос во время запуска.
https://tjournal.ru/internet/337806
При этом приложение не отображает картинку, а отправляет к ней запрос во время запуска.
https://tjournal.ru/internet/337806