Facebook opravil závažnú chybu v Messengeri, ktorá umožňovala špehovanie používateľov
Chyba v aplikácií Messenger umožňovala, aby vás útočník mohol odpočúvať bez vášho vedomia
Sociálna sieť Facebook v nedávnej minulosti opravila závažnú chybu v službe Messenger, ktorá umožňovala špehovanie používateľov. Išlo o špecifické povolenie, ktoré umožňovala útočníkovi získať nevyhnutné povolenia, aby mohol počúvať čo sa deje v okolí napadnutého používateľa prostredníctvom mikrofónu zariadenia. Na tému upozorňuje portál latesthackingnews.com.
Chyba bola objavená v protokole WebRTC
V podrobnej správe, ktorú zverejnila bezpečnostná analytička Natalie Silvanovich sa píše, že chyba existovala v protokole WebRTC, ktorý spravuje audio a videohovory v aplikácií Messenger. Štandardne sa prenos zvuku z jedného zariadenia do ďalšieho začína potom, ako je prichádzajúci hovor prijatým. V tomto prípade však bolo možné, aby k prenosu zvuku dochádzalo ešte predtým, ako bol hovor zodvihnutým.
„Za normálnych okolností volaný telefón neprenáša zvuk, kým používateľ nesúhlasí s prijatím hovoru, čo sa implementuje buď nezavolaním funkcie setLocalDescription, kým volaný neklikne na tlačidlo prijatia, alebo nastavením popisu zvukových a obrazových médií v miestnom SDP na neaktívne, kým používateľ neklikne na tlačidlo prijať (stratégia, ktorá sa použije, závisí od toho, na koľkých koncových bodoch je telefonát smerovaný).“
Kvôli chybe, ktorá bola prítomná v rámci protokolu WebRTC, mohol však volajúci prijímať zvuk ešte predtým, ako adresát hovoru na neho reagoval, a to aj v prípadoch, ak bol hovor neskôr odmietnutý.
Útočníkovi stačilo poslať špeciálnu správu počas hovoru
Aby potenciálny útočník mohol túto chybu využívať, tak stačilo počas hovoru odoslať na zariadenie obete textovú správu v rámci služby Messenger s textom „SdpUpdate“, ktorá spôsobila okamžité volanie po funkcii setLocalDescription. Inými slovami, následne došlo k prenosu zvuku, čo umožňovalo útočníkovi počúvať okolie obete a to aj potom, ako došlo k zrušeniu hovoru. Zároveň však treba dodať, že tento útok vyžadoval, aby bol používateľ súčasne prihlásený vo webovej verzii Messengera na Androide a v mobilnej aplikácii Messenger.
Chyba bola nahlásená sociálnej sieti ešte v októbri s tým, že Silvanovichová ponechala vývojárom 90-dní na opravu. Sociálna sieť zareagovala však promptne, a chybu vzhľadom na jej povahu obratom opravila. Okrem iného sociálna sieť bezpečnostnej analytičke zaplatila odmenu 60-tisíc dolárov za objavenie bezpečnostnej diery.
Komentáre