Cyberthreat.id – Kenyataan pahit keamanan siber saat ini adalah hampir setiap aplikasi mengandung kerentanan keamanan. Beberapa di antaranya mungkin ditemukan hari ini, tetapi yang lain tetap tak terlihat sampai seseorang menemukannya dan mengeksploitasinya.

Tak terkecuali Signal Private Massanger yang ketika The Hacker News menuliskan artikel ini, aplikasi itu sedang digembar-gemborkan sebagai salah satu messenger paling aman di dunia. Peneliti Google Project Zero Natalie Silvanovich menemukan kerentanan logis dalam aplikasi pengiriman pesan untuk Android itu.

Kerentanan itu dapat memungkinkan penelepon jahat memaksa panggilan dijawab di ujung penerima tanpa memerlukan interaksinya. Dengan kata lain, kelemahan tersebut dapat dieksploitasi untuk menghidupkan mikrofon perangkat pengguna Signal yang ditargetkan dan mendengarkan semua percakapan di sekitarnya.

Namun, kerentanan Signal hanya dapat dieksploitasi jika penerima gagal menjawab panggilan audio melalui sinyal, akhirnya memaksa panggilan masuk untuk secara otomatis dijawab pada perangkat penerima.

"Di klien Android, ada metode handleCallConnected yang menyebabkan panggilan selesai terhubung. Selama penggunaan normal, itu disebut dalam dua situasi: ketika perangkat callee menerima panggilan ketika pengguna memilih accept, dan ketika perangkat pemanggil menerima pesan "hubungkan" yang masuk yang menunjukkan bahwa callee telah menerima panggilan," Silvanovich menjelaskan di blog Chromium sebagaimana dikutip The Hacker News.

"Menggunakan klien yang dimodifikasi, adalah mungkin untuk mengirim pesan "sambungkan" ke perangkat callee ketika panggilan masuk sedang berlangsung tetapi belum diterima oleh pengguna. Ini menyebabkan panggilan dijawab, meskipun pengguna tidak berinteraksi dengan perangkat. "

Untuk dicatat, "panggilan yang terhubung hanya akan menjadi panggilan audio, karena pengguna perlu mengaktifkan video secara manual di semua panggilan."

Firewall Aplikasi Web

Silvanovich juga menyebutkan bahwa "Signal memiliki permukaan serangan jarak jauh yang besar ini karena keterbatasan di WebRTC," dan cacat desain juga memengaruhi versi iOS dari aplikasi perpesanan, tetapi tidak dapat dieksploitasi karena "panggilan tidak selesai karena kesalahan dalam UI disebabkan oleh urutan negara bagian yang tidak terduga. "

Silvanovich melaporkan kerentanan ini kepada tim keamanan Signal baru minggu lalu.

Tim keamanan Signal segera mengakui masalah ini dan menambalnya dalam beberapa jam pada hari yang sama dengan rilis Signal for Android v4.47.7, perusahaan mengkonfirmasi The Hacker News.

Maka — buka dan instal pembaruan terbaru yang tersedia dari Signal Private Messenger dari Google Play Store dan pastikan Anda selalu menjalankan aplikasi terbaru di perangkat Android dan iOS Anda.