APLIKÁCIE A HRYBezpečnosťSpravodajstvo

Facebook opravil závažnú chybu v Messengeri, ktorá umožňovala špehovanie používateľov

Chyba v aplikácií Messenger umožňovala, aby vás útočník mohol odpočúvať bez vášho vedomia

Sociálna sieť Facebook v nedávnej minulosti opravila závažnú chybu v službe Messenger, ktorá umožňovala špehovanie používateľov. Išlo o špecifické povolenie, ktoré umožňovala útočníkovi získať nevyhnutné povolenia, aby mohol počúvať čo sa deje v okolí napadnutého používateľa prostredníctvom mikrofónu zariadenia. Na tému upozorňuje portál latesthackingnews.com.

Chyba bola objavená v protokole WebRTC

V podrobnej správe, ktorú zverejnila bezpečnostná analytička Natalie Silvanovich sa píše, že chyba existovala v protokole WebRTC, ktorý spravuje audio a videohovory v aplikácií Messenger. Štandardne sa prenos zvuku z jedného zariadenia do ďalšieho začína potom, ako je prichádzajúci hovor prijatým. V tomto prípade však bolo možné, aby k prenosu zvuku dochádzalo ešte predtým, ako bol hovor zodvihnutým.

„Za normálnych okolností volaný telefón neprenáša zvuk, kým používateľ nesúhlasí s prijatím hovoru, čo sa implementuje buď nezavolaním funkcie setLocalDescription, kým volaný neklikne na tlačidlo prijatia, alebo nastavením popisu zvukových a obrazových médií v miestnom SDP na neaktívne, kým používateľ neklikne na tlačidlo prijať  (stratégia, ktorá sa použije, závisí od toho, na koľkých koncových bodoch je telefonát smerovaný).“

Kvôli chybe, ktorá bola prítomná v rámci protokolu WebRTC, mohol však volajúci prijímať zvuk ešte predtým, ako adresát hovoru na neho reagoval, a to aj v prípadoch, ak bol hovor neskôr odmietnutý.

Útočníkovi stačilo poslať špeciálnu správu počas hovoru

Aby potenciálny útočník mohol túto chybu využívať, tak stačilo počas hovoru odoslať na zariadenie obete textovú správu v rámci služby Messenger s textom „SdpUpdate“, ktorá spôsobila okamžité volanie po funkcii setLocalDescription. Inými slovami, následne došlo k prenosu zvuku, čo umožňovalo útočníkovi počúvať okolie obete a to aj potom, ako došlo k zrušeniu hovoru. Zároveň však treba dodať, že tento útok vyžadoval, aby bol používateľ súčasne prihlásený vo webovej verzii Messengera na Androide a v   mobilnej aplikácii Messenger.

Chyba bola nahlásená sociálnej sieti ešte v októbri s tým, že Silvanovichová ponechala vývojárom 90-dní na opravu. Sociálna sieť zareagovala však promptne, a chybu vzhľadom na jej povahu obratom opravila. Okrem iného sociálna sieť bezpečnostnej analytičke zaplatila odmenu 60-tisíc dolárov za objavenie bezpečnostnej diery.

Prihláste sa do odberu tých najnovších informácií a správ z portálu VoSveteIt.sk

Odoslaním e-mailu dávate súhlas s podmienkami ochrany súkromia. Nezabudnite odber potvrdiť ešte v e-maile, ktorý Vám bude doručený

Mohlo by Vás zaujímať

Tagy

Martin Borko

Technológie ma fascinujú už niekoľko rokov a to hlavne spotrebná elektronika, ktorá nám dokáže častokrát zjednodušiť každodenné fungovanie. Zároveň však nepohrdnem ani futuristickými technológiami a víziami, o ktorých rád aj píšem.
Close
Close