APLIKÁCIE A HRYBezpečnosťSpravodajstvo

Facebook opravil závažnú chybu v Messengeri, ktorá umožňovala špehovanie používateľov

Chyba v aplikácií Messenger umožňovala, aby vás útočník mohol odpočúvať bez vášho vedomia

Sociálna sieť Facebook v nedávnej minulosti opravila závažnú chybu v službe Messenger, ktorá umožňovala špehovanie používateľov. Išlo o špecifické povolenie, ktoré umožňovala útočníkovi získať nevyhnutné povolenia, aby mohol počúvať čo sa deje v okolí napadnutého používateľa prostredníctvom mikrofónu zariadenia. Na tému upozorňuje portál latesthackingnews.com.

Chyba bola objavená v protokole WebRTC

V podrobnej správe, ktorú zverejnila bezpečnostná analytička Natalie Silvanovich sa píše, že chyba existovala v protokole WebRTC, ktorý spravuje audio a videohovory v aplikácií Messenger. Štandardne sa prenos zvuku z jedného zariadenia do ďalšieho začína potom, ako je prichádzajúci hovor prijatým. V tomto prípade však bolo možné, aby k prenosu zvuku dochádzalo ešte predtým, ako bol hovor zodvihnutým.

Odoberajte Vosveteit.sk cez Telegram a prihláste sa k odberu správ

„Za normálnych okolností volaný telefón neprenáša zvuk, kým používateľ nesúhlasí s prijatím hovoru, čo sa implementuje buď nezavolaním funkcie setLocalDescription, kým volaný neklikne na tlačidlo prijatia, alebo nastavením popisu zvukových a obrazových médií v miestnom SDP na neaktívne, kým používateľ neklikne na tlačidlo prijať  (stratégia, ktorá sa použije, závisí od toho, na koľkých koncových bodoch je telefonát smerovaný).“

Kvôli chybe, ktorá bola prítomná v rámci protokolu WebRTC, mohol však volajúci prijímať zvuk ešte predtým, ako adresát hovoru na neho reagoval, a to aj v prípadoch, ak bol hovor neskôr odmietnutý.

Útočníkovi stačilo poslať špeciálnu správu počas hovoru

Aby potenciálny útočník mohol túto chybu využívať, tak stačilo počas hovoru odoslať na zariadenie obete textovú správu v rámci služby Messenger s textom „SdpUpdate“, ktorá spôsobila okamžité volanie po funkcii setLocalDescription. Inými slovami, následne došlo k prenosu zvuku, čo umožňovalo útočníkovi počúvať okolie obete a to aj potom, ako došlo k zrušeniu hovoru. Zároveň však treba dodať, že tento útok vyžadoval, aby bol používateľ súčasne prihlásený vo webovej verzii Messengera na Androide a v   mobilnej aplikácii Messenger.

Chyba bola nahlásená sociálnej sieti ešte v októbri s tým, že Silvanovichová ponechala vývojárom 90-dní na opravu. Sociálna sieť zareagovala však promptne, a chybu vzhľadom na jej povahu obratom opravila. Okrem iného sociálna sieť bezpečnostnej analytičke zaplatila odmenu 60-tisíc dolárov za objavenie bezpečnostnej diery.

Prihláste sa k odberu správ z Vosveteit.sk cez Google správy
Tagy
Zobraziť komentáre
Close
Close