У Facebook Messenger знайшли баг. Він дозволяє підслуховувати за людьми
У Facebook Messenger знайшли помилку, яка дозволяє прослуховувати користувачів ще до того, як вони відповіли на дзвінок. У компанії не знають, скільки хакерів скористалися цією вразливістю.
Facebook виправив помилку в додатку Messenger для Android, яка дозволяла віддаленому зловмисникові дзвонити будь-яким користувачам і прослуховувати їх ще до того, як вони відповіли на дзвінок. Цей баг виявила дослідниця Наталя Сільванович з команди Google Project Zero.
Уразливість могла дати зловмисникові, що ввійшов в додаток, можливість одночасно дзвонити і відправляти спеціальні повідомлення. Це провокувало сценарій, при якому той, хто телефонує буде отримувати доступ до мікрофона до тих пір, поки абонент не відповість або до закінчення часу дзвінка.
Менеджер з безпеки Facebook Ден Гурфінкель зазначив, що вони вже виправили помилку. Однак у них немає даних по тому, скільки хакерів скористалися вразливістю.
Згідно технічного запису Сільванович, недолік крився в WebRTC's Session Description Protocol (SDP), який визначає стандартизований формат для обміну потоковим мультимедіа між двома кінцевими точками. Він дозволяє зловмисникові послати спеціальний тип повідомлення, відомий як SdpUpdate, той викличе з'єднання з пристроєм абонента до того, як він відповість на дзвінок.
Читайте також: Нова програма на основі ШІ може виконувати обов’язки особистого помічника
Цю вразливість порівнюють з помилкою, яку торік знайшли в групових чатах FaceTime від Apple. Він дозволив користувачам ініціювати відеодзвінок FaceTime і підслуховувати своїх співрозмовників. У компанії відзначили, що також виправили цю помилку.