Kỹ sư bảo mật CNTT Natalie Silvanovich cho biết, những lỗi này đã tồn tại trong Signal, Google Duo và Facebook Messenger và nhiều ứng dụng khác chủ yếu được dùng nhiều ở châu Á. Những lỗi này cho phép tin tặc nghe được người nhận cuộc gọi mà không cần thực hiện bất cứ tác vụ nào lừa đảo mục tiêu.

Hiện nay, các nhà cung cấp dịch vụ đã vá những lỗi được phát hiện, nhưng vấn đề đòi hỏi phải có những nghiên cứu sâu và kỹ lưỡng.

"Ngày 29/1/2019, một lỗ hổng nghiêm trọng được phát hiện trong ứng dụng Group FaceTime, cho phép kẻ tấn công gọi một mục tiêu và khiến cuộc gọi được kết nối mà không có sự tương tác đồng thuận của người dùng mục tiêu", kỹ sư CNTT Silvanovich đã viết trong một bản tin đăng tải trên blog Project Zero.

Cô nhấn mạnh nói thêm: “Con bọ này rất đáng chú ý cả về phương pháp tác động và cơ chế hoạt động của nó.

Lỗ hổng thực sự nghiêm trọng, buộc Apple loại bỏ tính năng trò chuyện nhóm FaceTime trước khi có thể giải quyết được vấn đề trong bản cập nhật hệ điều hành iOS tiếp theo.

Sau khi phát hiện ra lỗi FaceTime, nhóm Project Zero thực hiện điều nghiên một số ứng dụng nhắn tin khác, xác định được những lỗi tương tự trong các phần mềm Signal, Facebook Messenger, Google Duo, JioChat (chủ yếu được sử dụng ở Ấn Độ) và Mocha (rất phổ biến ở Việt Nam).

 

Silvanovich cho biết không tìm thấy những lỗ hổng như vậy trong các ứng dụng Viber hoặc Telegram và cho biết, những khó khăn đáng kể về kỹ thuật đảo ngược khiến cuộc điều tra nghiên cứu Viber "ít nghiêm ngặt hơn" so với những ứng dụng khác.

Ứng dụng Signal, gần đây đã gia tăng lớn về số lượng người dùng đã vá lỗ hổng bảo mật tháng 9/2019. Không có cơ sở để kết luận, người dùng Signal dễ dàng bị tấn công bởi lỗ hổng này.

Silvanovich giải thích, ứng dụng Signal iOS trước đó cũng có sự cố logic tương tự, một lỗi trong giao diện người dùng (do chuỗi trạng thái bất ngờ không chủ ý) ngăn chặn cuộc gọi được kết nối mà người nhận không hề hay biết.

Facebook vá lỗ hổng trong ứng dụng Messenger tháng 11/ 2020, Google giải quyết lỗ hồng này tháng 12/2020. Trong ứng dụng Google Duo, lỗ hổng phần mềm khiến thiết bị nhận (smartphone) bị rò rỉ các gói video từ những cuộc gọi không trả lời, có nghĩa là tin tặc có thể nhận được các video quay môi trường xung quanh trong một cuộc gọi mà người dùng thiết bị (smart phone) không hề hay biết.

Các lỗi phần mềm trong JioChat và Mocha được vá vào tháng 7 và tháng 8/2020.

Silvanovich lưu ý rằng, cô chỉ nghiên cứu xem xét những chức năng gọi 1-1 trong cuộc điều tra và không điều nghiên các tính năng gọi và nói chuyện nhóm.

"Đây là một lĩnh vực cho công việc trong tương lai, việc điều nghiên kỹ lưỡng có thể phát hiện thêm nhiều vấn đề trong các ứng dụng tin nhắn và hội thoại" cô nói thêm.

Ngoài ra, Silvanovich cho biết đã điều tra bảy ứng dụng hội nghị truyền hình và tìm thấy năm lỗ hổng, có thể cho phép thiết bị của người gọi buộc thiết bị người nhận truyền dữ liệu âm thanh hoặc video. Những các lỗ hổng này đã được sửa chữa. 

Hình thức tấn công thông qua các ứng dụng hội nghị truyền hình đáng được quan tâm và chưa được điều tra kỹ lượng, có khả năng sẽ tìm thấy nhiều vấn đề hơn khi nghiên cứu thêm.