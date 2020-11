Poważna luka w Messengerze - pozwalała podsłuchiwać znajomych

Błąd wykryła Natalie Silvanovich, badaczka ds. cyberbezpieczeństwa w Google Project Zero. Znajdował się w implementacji protokołu WebRTC, służącego do wykonywania połączeń audio i wideo. W teorii polega na "wymianie serii wiadomości pomiędzy odbiorcą a dzwoniącym". W normalnym scenariuszu, dźwięk nie jest wykrywany, dopóki druga strona nie zaakceptuje rozmowy głosowej/wideo.

"Jednak istnieje typ wiadomości, który nie jest używany do zestawiania połączeń, SdpUpdate, który powoduje natychmiastowe wywołanie setLocalDescription" - wyjaśnia Silvanovich. "Jeśli ta wiadomość zostanie wysłana do wywoływanego urządzenia, spowoduje to natychmiastowe rozpoczęcie transmisji dźwięku, co może umożliwić atakującemu nagrywanie otoczenia odbierającego". Nagrywanie było możliwe do momentu, aż dana osoba nie odrzuci połączenia, lub nie minie limit czasu oczekiwania.