Android telefonlardaki Facebook Messenger uygulamasında, uzaktaki bir saldırganın daha sesli aramayı almadan önce telefonun farketmeksizin dinlenmesine izin verebilecek bir hatayı yamadı. Hata (açık), Google’ın Project Zero hata avlama ekibinden Natalie Silvanovich tarafından geçen ay 6 ekimde keşfedildi [1] ve 90 günsüre verildi. Facebook Messenger’ın 284.0.0.16.119 (ve öncesi) sürümünü etkiledi.
Güvenlik açığı, uygulamada oturum açan bir saldırgana aynı anda hem uygulamada hem de web tarayıcısı gibi başka bir Messenger istemcisinde oturum açmış bir hedefe aynı anda bir arama başlatıp özel hazırlanmış bir mesaj göndermesi için izin verebilirdi.
Silvanovich’in teknik bir yazısına göre, kusur WebRTC’nin iki uç nokta arasında akışlı ortam alışverişi için standartlaştırılmış bir format tanımlayan – bir saldırganın “olarak bilinen özel bir mesaj türü göndermesine olanak tanıyan ” Oturum Açıklama Protokolü’nde ( SDP ) bulunuyor. SdpUpdate “, aramanın yanıtlanmadan önce aranan ucun cihazına bağlanmasına neden oluyor.
WebRTC üzerinden yapılan sesli ve görüntülü aramalar, genellikle alıcı kabul düğmesini tıklayana kadar ses iletmez, ancak bu “SdpUpdate” mesajı çalarken diğer uç cihaza gönderilirse “, sesi anında iletmeye başlamasına neden olur. bu, bir saldırganın aranan ucun çevresini izlemesine izin verebilir. “Bazı yönlerden, güvenlik açığı, geçen yıl Apple’ın FaceTime grup sohbetleri özelliğinde bildirilen ve kullanıcıların üçüncü bir kişi olarak kendi numaralarını ekleyerek FaceTime görüntülü arama başlatmalarına ve hedefleri gizlice dinlemelerine olanak tanıyan gizliliği aşındıran bir kusurla benzerlik taşıyor.
Açık o kadar önemliydi ki Apple, sonraki bir iOS güncellemesinde sorunu çözmeden önce FaceTime grup sohbetlerinde fişi tamamen çekti. Ancak FaceTime hatasından farklı olarak, bu açığı kullanmak o kadar kolay değil. Arayanın belirli bir kişiyi arama iznine zaten sahip olması gerekir – başka bir deyişle, arayanın ve arayan ucun bunu başarmak için Facebook arkadaşı olması gerekiyor. Dahası, saldırı aynı zamanda kötü aktörün Frida gibi tersine mühendislik araçlarını kullanarak kendi Messenger uygulamasını kullanarak onu özel “SdpUpdate” mesajını göndermeye zorlamasını gerektiriyor.
Silvanovich, sorunu bildirdiği için, Google araştırmacısının GiveWell adlı kar amacı gütmeyen bir kuruluşa bağışta bulunduğunu söylediği, Facebook’un bugüne kadarki en yüksek üç hata ödülünden biri olan 60.000 $ hata ödülü aldı [2].
[2] Marking the 10th Anniversary of Our Bug Bounty Program – November 19, 2020