来更优雅,比传统的医疗警报更符合飞利浦 Sonos 的风格。。 * Apple 禁用了 FaceTime 群组通话几天,直到能够在 iOS 12.1.4 中发布补丁。从那时起,谷歌安全研究人员一直忙于在其他群聊应用程序中发现同样的漏洞,例如 Signal、JioChat、Mocha、Google Duo 和 Facebook Messenger。 除了其巨大的攻击面之外,该漏洞还有另一个值得一提的因素:它是如何首次被发现的。这要归功于当时在亚利桑那州图森市上学的 14 岁高中生格兰特·汤普森 (Grant Thompson)。在发现该漏洞之前,格兰特一直通过 FaceTime 与朋友一起玩《堡垒之夜》。
本机制 让我们详细讨论错误的
在与朋友建立 FaceTime 群组通话时,他注意到了一些奇怪的事情:在接听电话之前,他能听到其中一个人在说话。当汤普森后来报告该错误时,他最初被苹果公司忽视,直到他的母亲顽强地追求 这一荣誉并通过其开发计划申请后,苹果最终才向他授予了 新加坡电话号码数据 错误赏金 。 该漏洞利用的基实际机制。为了深入了解这些细节,我必须首先描述WebRTC协议 (英文站点),它是为您的应用程序添加实时通信功能的开放标准。它支持点对点发送的通用视频、语音和数据,使开发人员能够创建强大的语音和视频通信解决方案。 前面的关键字是even,这既是一个机会(允许您进行个人和群聊)也是一个问题。由于任何 Web 连接都是无状态的,因此您需要其他方式来维护聊天端点之间的状态;这涉及使用另一种称为会话描述协议 (SDP) 的协议来配置呼叫。
西尔万诺维奇建议开发人员提
这个过程称为信令,正如我所说,WebRTC 没有实现它。 自最初的 FaceTime 漏洞发生一年以来,谷歌零项目的安全研究员 Natalie Silvanovich 一直在跟踪这个问题,并于 最近发布了她的研究细节。他发现应用程序实现 SDP 信令的方式使群组呼叫的接收 美国B2B清单 方可以轻松地在应答呼叫(或在其终端执行任何操作)之前添加自己。他还发现 Telegram 和 Viber 都没有这个问题,因为它们的通话结构不同。 高认识。“很少有 WebRTC 文档或教程明确讨论从用户设备传输音频或视频时需要获得用户同意,”他说。西尔万诺维奇承认,这一 壮举 是他以前从未遇到过的。
