Signal Patch Zero-Day Bug di Aplikasi Android-nya

  • Whatsapp
Signal Patch Zero-Day Bug di Aplikasi Android-nya

 

Bacaan Lainnya

Signal telah menambal kelemahan kritis dalam aplikasi Android-nya yang, dalam beberapa keadaan, mengirim gambar acak yang tidak diinginkan ke kontak tanpa penjelasan yang jelas.

Cacat ini pertama kali dilaporkan pada Desember 2020 oleh Rob Connolly di halaman GitHub aplikasi. Meskipun dikenal selama berbulan-bulan, Signal telah memperbaiki bug baru-baru ini. Sementara tim menghadapi serangan balasan atas penundaan ini, Greyson Parrelli, pengembang Android Signal mengkonfirmasi perbaikan bug baru-baru ini. Sesuai tanggapannya di utas GitHub yang sama, Signal telah menambal kekurangannya dengan merilis aplikasi Android Signal versi 5.17.

Ketika pengguna mengirim gambar melalui aplikasi Signal Android ke salah satu kontaknya, kontak tersebut kadang-kadang tidak hanya menerima gambar yang dipilih, tetapi juga beberapa gambar acak yang tidak diinginkan, yang tidak pernah dikirim oleh pengirim, Connolly menjelaskan.

“Percakapan standar antara dua pengguna (sebut saja mereka pihak A dan pihak B). Pihak A membagikan gif (dari pencarian gif bawaan). Pihak B menerima gif, tetapi juga beberapa gambar lain, yang tampaknya berasal dari pengguna lain (pihak A telah menelusuri ponsel mereka dan tidak mengingat gambar yang dimaksud). Kasus terbaik gambar berasal dari kontak lain B dan pesan dicoret, kasus terburuk berasal dari pihak yang tidak dikenal, siapa [sic] data sekarang telah bocor, ”kata Connolly sambil menjelaskan kekurangannya.

Saat ini, cacat tersebut tampaknya hanya berdampak pada versi aplikasi Android. Pengguna aplikasi Signal Android harus memperbarui aplikasi ke versi terbaru, yang tersedia di Google Play store, saran para peneliti.

Tahun lalu pada Mei 2020, peneliti keamanan siber di Tenable menemukan kelemahan pada aplikasi pesan aman Signal yang memungkinkan pelaku ancaman melacak lokasi pengguna. Pelaku ancaman dapat melacak pergerakan pengguna hanya dengan menghubungi nomor Sinyal mereka — terlepas dari apakah pengguna memiliki informasi kontaknya atau tidak. Ini bisa menjadi masalah besar bagi korban penguntitan, atau bagi aktivis dan jurnalis yang berusaha menghindari deteksi pemerintah atau penegak hukum untuk membocorkan informasi atau bertindak dalam kapasitas pelapor, tulis peneliti David Wells.

“Fitur itu tidak diiklankan dengan baik, dan menarik bahwa seseorang dapat mengungkapkan lokasi Anda jika mereka adalah kontak Anda. Katakanlah saya memiliki telepon burner dan saya hanya menelepon telepon Anda, dan saya melakukannya dengan sangat cepat sehingga yang Anda lihat hanyalah panggilan tak terjawab dari beberapa nomor. Biasanya, itu akan berada di dekat Anda. Jadi, saya bisa memaksa server DNS itu [near you] untuk berbicara kepada saya. Dengan mendapatkan informasi itu, saya tahu server DNS apa yang Anda gunakan dan saya dapat menentukan lokasi umum Anda,” jelas Wells.

Pos terkait

Tinggalkan Balasan

Alamat email Anda tidak akan dipublikasikan. Ruas yang wajib ditandai *