Lỗi nghiêm trọng trên Facebook Messenger nền tảng Android
Lỗ hổng này có trên phiên bản 284.0.0.16.119 của ứng dụng Facebook Messenger cho Android.
The The Hacker News đưa tin, ứng dụng Facebook Messenger trên nền tảng Android đã tồn tại một lỗi bảo mật nghiêm trọng, có khả năng bị tin tặc lợi dụng tấn công thiết bị, nghe lén âm thanh phía đầu dây bên kia dù nạn nhân không nhân cuộc gọi.
(Ảnh: Unsplash)
Lỗ hổng này có trên phiên bản 284.0.0.16.119 của ứng dụng Facebook Messenger cho Android. Natalie Silvanovich thuộc nhóm săn lỗi Project Zero của Google là người đã phát hiện ra lỗ hổng.
Theo Silvanovich, lỗ hổng nằm trong Giao thức mô tả phiên (SDP) của WebRTC. Đây là định dạng chuẩn hóa việc trao đổi phương tiện truyền trực tuyến giữa hai điểm cuối.
(Ảnh: Brett Jordan / Unsplash)
Kẻ tấn công có thể khai thác lỗ hổng bằng cách gửi một loại thông báo đặc biệt, được gọi là SdpUpdate. Nó sẽ khiến cuộc gọi kết nối với thiết bị của nạn nhân trước khi họ trả lời.
“Nếu thông báo này được gửi đến thiết bị của nạn nhân trong khi đang đổ chuông, nó sẽ giúp hacker nghe được âm thanh xung quanh ngay lập tức giống như người ở đầu dây bên kia đã nhấc máy. Và việc nghe lén trở nên dễ dàng hơn bao giờ hết”, Natalie Silvanovich cho biết.
(Ảnh: Marcio Jose Sanchez | AP)
Natalie Silvanovich đã báo cáo cho Facebook vào ngày 6/10 và công ty có thời hạn 90 ngày để khắc phục.
Về phía Facebook, công ty đã ghi nhận lỗi và đưa ra lời cảnh báo rằng, tin tặc có thể lợi dụng lỗ hổng này để tấn công những người có trong danh sách bạn bè của nạn nhân.
(Ảnh: Android Authority)
Sau khi sửa lỗi, các nhà nghiên cứu bảo mật của Facebook đã áp dụng các biện pháp bảo vệ bổ sung trên các ứng dụng khác, sử dụng cùng một giao thức cho cuộc gọi 1:1.
Silvanovich đã được thưởng 60.000 USD tiền thưởng khi báo cáo lỗ hổng trên. Đây là một trong ba phần thưởng săn lỗi cao nhất của Facebook cho đến nay. Silvanovich cho biết cô đã quyên góp toàn bộ tiền thưởng cho tổ chức phi lợi nhuận GiveWell.
(Ảnh: Android Authority)
Đây không phải là lần đầu tiên Silvanovich phát hiện ra những lỗ hổng nghiêm trọng trong các ứng dụng nhắn tin đa phương tiện. Trước đó cô từng báo cáo nhiều lỗi của WhatApp, iMessage, WeChat, Signal và Reliance JioChat.
Có hơn 50.000 nhà nghiên cứu bảo mật đã tham gia chương trình săn lỗi của Facebook để nhận tiền thưởng, và khoảng 6.900 trong số đó đã được Facebook trao thưởng sau khi gửi hơn 130.000 báo cáo về lỗ hổng bảo mật kể từ năm 2011.
(Ảnh: Hollis Johnson/Business Insider)
Chỉ tính trong năm nay, Facebook cho biết mạng xã hội này đã chi hơn 1,98 triệu USD để thưởng cho các nhà nghiên cứu bảo mật từ hơn 50 quốc gia, những người đã báo cáo hơn 1.000 lỗ hổng bảo mật cho Facebook.
