Poważna luka w Facebook Messenger. Znajomi mogli cię podsłuchiwać lub nagrać

W aplikacji Messenger dla systemu Android wykryto poważny błąd. Korzystająca z niego osoba mogła podsłuchiwać swoich znajomych. Luka została już załatana na poziomie serwera i nie trzeba aktualizować aplikacji.

MessengerFacebook Messenger z poważnym błędem
Źródło zdjęć: © Getty Images
Arkadiusz Stando
Arkadiusz Stando

Facebook od ponad 10 lat prowadzi program bug bounty dla ekspertów ds. bezpieczeństwa w sieci. W zamian za znalezienie luki w którymś z jego serwisów lub aplikacji (np. Facebook, Instagram, WhatsApp czy Messenger) wypłaca nagrody pieniężne w zależności od stopnia zagrożenia, jakie wykryty błąd wprowadza.

Dzięki programowi bug bounty, który niedawno przeszedł metamorfozę, udało się wykryć poważny błąd w aplikacji Messenger na Androida. Luka pozwalała na całkowite przechwytywanie dźwięku dowolnej osoby ze znajomych użytkownika. W prosty sposób można było nagrywać wszystkie rozmowy danej ofiary.

Poważna luka w Messengerze - pozwalała podsłuchiwać znajomych

Błąd wykryła Natalie Silvanovich, badaczka ds. cyberbezpieczeństwa w Google Project Zero. Znajdował się w implementacji protokołu WebRTC, służącego do wykonywania połączeń audio i wideo. W teorii polega na "wymianie serii wiadomości pomiędzy odbiorcą a dzwoniącym". W normalnym scenariuszu, dźwięk nie jest wykrywany, dopóki druga strona nie zaakceptuje rozmowy głosowej/wideo.

Zobacz też: Aplikacja do SMS-ów z poważną luką. Wysłane zdjęcia trafiają do internetu

"Jednak istnieje typ wiadomości, który nie jest używany do zestawiania połączeń, SdpUpdate, który powoduje natychmiastowe wywołanie setLocalDescription" - wyjaśnia Silvanovich. "Jeśli ta wiadomość zostanie wysłana do wywoływanego urządzenia, spowoduje to natychmiastowe rozpoczęcie transmisji dźwięku, co może umożliwić atakującemu nagrywanie otoczenia odbierającego". Nagrywanie było możliwe do momentu, aż dana osoba nie odrzuci połączenia, lub nie minie limit czasu oczekiwania.

Natalie Silvanovich wykryła błąd w Messengerze na początku tego roku. Facebook załatał usterkę 19 listopada i poinformował o tym na swoim oficjalnym blogu. Za wykrycie luki, badaczka została hojnie nagrodzona. Facebook zapłacił jej 60 tysięcy dolarów.

Czytaj także: Kraj, który całkowicie zakaże Facebooka. Tak, to naprawdę możliwe

Źródło artykułu: WP Tech
Wybrane dla Ciebie
To "mały Einstein". Ma 15 lat i doktorat z fizyki kwantowej
To "mały Einstein". Ma 15 lat i doktorat z fizyki kwantowej
Stacja kosmiczna Lunar Gateway powstanie? ESA potwierdza
Stacja kosmiczna Lunar Gateway powstanie? ESA potwierdza
Jest klient na Su-35. Rosja oczekuje czegoś cenniejszego niż pieniądze
Jest klient na Su-35. Rosja oczekuje czegoś cenniejszego niż pieniądze
Monstrualne obiekty kosmiczne. To miały być tylko małe czerwone kropki
Monstrualne obiekty kosmiczne. To miały być tylko małe czerwone kropki
Ruch rosyjskich kontenerowców. Nie oznacza nic dobrego dla Ukrainy
Ruch rosyjskich kontenerowców. Nie oznacza nic dobrego dla Ukrainy
Prawdziwe pochodzenie kota. Analizy dają odpowiedź
Prawdziwe pochodzenie kota. Analizy dają odpowiedź
Patriot zadziałał. Tak chroni Kijów przez śmiercionośną bronią Rosji
Patriot zadziałał. Tak chroni Kijów przez śmiercionośną bronią Rosji
Rosja nie wyniesie astronautów w kosmos. Poważne uszkodzenia
Rosja nie wyniesie astronautów w kosmos. Poważne uszkodzenia
Pożar w Hongkongu. Rusztowanie pomogło ogniowi
Pożar w Hongkongu. Rusztowanie pomogło ogniowi
Pod lodem tych księżyców mogą wrzeć oceany. Jak to możliwe?
Pod lodem tych księżyców mogą wrzeć oceany. Jak to możliwe?
Latami trzymał "kamień złota". Okazało się, że jest jeszcze cenniejszy
Latami trzymał "kamień złota". Okazało się, że jest jeszcze cenniejszy
Sonda JUICE zrobiła zdjęcie komecie 3I/ATLAS. Zobaczysz je w 2026 r.
Sonda JUICE zrobiła zdjęcie komecie 3I/ATLAS. Zobaczysz je w 2026 r.
ZANIM WYJDZIESZ... NIE PRZEGAP TEGO, CO CZYTAJĄ INNI! 👇