Poważna luka w Facebook Messenger. Znajomi mogli cię podsłuchiwać lub nagrać

W aplikacji Messenger dla systemu Android wykryto poważny błąd. Korzystająca z niego osoba mogła podsłuchiwać swoich znajomych. Luka została już załatana na poziomie serwera i nie trzeba aktualizować aplikacji.

Facebook Messenger z poważnym błędem
Facebook Messenger z poważnym błędem
Źródło zdjęć: © Getty Images
Arkadiusz Stando

25.11.2020 | aktual.: 02.03.2022 14:24

Facebook od ponad 10 lat prowadzi program bug bounty dla ekspertów ds. bezpieczeństwa w sieci. W zamian za znalezienie luki w którymś z jego serwisów lub aplikacji (np. Facebook, Instagram, WhatsApp czy Messenger) wypłaca nagrody pieniężne w zależności od stopnia zagrożenia, jakie wykryty błąd wprowadza.

Dzięki programowi bug bounty, który niedawno przeszedł metamorfozę, udało się wykryć poważny błąd w aplikacji Messenger na Androida. Luka pozwalała na całkowite przechwytywanie dźwięku dowolnej osoby ze znajomych użytkownika. W prosty sposób można było nagrywać wszystkie rozmowy danej ofiary.

Poważna luka w Messengerze - pozwalała podsłuchiwać znajomych

Błąd wykryła Natalie Silvanovich, badaczka ds. cyberbezpieczeństwa w Google Project Zero. Znajdował się w implementacji protokołu WebRTC, służącego do wykonywania połączeń audio i wideo. W teorii polega na "wymianie serii wiadomości pomiędzy odbiorcą a dzwoniącym". W normalnym scenariuszu, dźwięk nie jest wykrywany, dopóki druga strona nie zaakceptuje rozmowy głosowej/wideo.

"Jednak istnieje typ wiadomości, który nie jest używany do zestawiania połączeń, SdpUpdate, który powoduje natychmiastowe wywołanie setLocalDescription" - wyjaśnia Silvanovich. "Jeśli ta wiadomość zostanie wysłana do wywoływanego urządzenia, spowoduje to natychmiastowe rozpoczęcie transmisji dźwięku, co może umożliwić atakującemu nagrywanie otoczenia odbierającego". Nagrywanie było możliwe do momentu, aż dana osoba nie odrzuci połączenia, lub nie minie limit czasu oczekiwania.

Natalie Silvanovich wykryła błąd w Messengerze na początku tego roku. Facebook załatał usterkę 19 listopada i poinformował o tym na swoim oficjalnym blogu. Za wykrycie luki, badaczka została hojnie nagrodzona. Facebook zapłacił jej 60 tysięcy dolarów.

Wybrane dla Ciebie
Komentarze (2)