Facebook oznámil, že opravil kritickú chybu v mobilnej aplikácii Facebook Messenger pre Android. Podľa portálu DarkReading mohla útočníkom umožniť špehovať ostatných používateľov Facebooku pomocou audio a video hovorov.
V čom spočívala chyba v hovoroch Messengeru?
Výskumná pracovníčka projektu Google Zero Natalie Silvanovich tvrdí, že chyba bola v implementácii protokolu s názvom WebRTC. Ten aplikácia používa na uskutočňovanie zvukových a videohovorov pre šetrenie prenášaných dát medzi volaným a volajúcim. Za normálnych okolností osoba, ktorá prijíma hovor, nevysiela zvuk, kým nie je hovor prijatý.
Tento krok sa implementuje dvoma spôsobmi. Buď tak, že sa protokol setLocalDescription spustí, keď volaný klikne na tlačidlo Prijať. Alebo nastavením popisu zvukových a obrazových médií v miestnom protokole popisu relácie (SDP) na neaktívne a ich aktualizáciou pri prijatí hovoru.
Natalie Silvanovich však napísala, že existuje typ správy s názvom SdpUpdate, ktorý sa nepoužíva na nastavenie hovoru a spôsobí okamžité volanie pomocou setLocalDescription. Ak sa táto správa niekomu odošle počas prichádzajúceho hovoru, volaný začne okamžite vysielať zvuk a umožní útočníkovi počúvať jeho okolie. Volaný by pritom vôbec nemusel odpovedať na prichádzajúci hovor a nebol by vedomý, že prenos zvuku prebieha.
Silvanovičová sa ďalej zmieňuje o tom, že útočník potrebuje aj určité oprávnenia, aby mohol volať obeti. Jednou z nich je byť medzi jej priateľmi na Facebooku. Útočník by tiež musel na odoslanie vlastnej správy z aplikácie Messenger použiť nástroje reverzného inžinierstva.
Facebook chybu opravil a vyplatil vysokú odmenu za jej nájdenie
Facebook už zraniteľnosť opravil aktualizáciou serveru služby a tvrdí, že zvýšil ochranu vo všetkých jej aplikáciách, ktoré umožňujú hovory typu one-on-one cez rovnaký protokol. Za nájdenie chyby vyplatila spoločnosť odmenu vo výške 60 000 dolárov, ktorá patrí medzi tri najvyššie odmeny Facebooku za odhalenie chýb.
Pre amerického giganta je program odmien za odhalené chyby jednou z priorít v snahe vylepšiť obraz zabezpečenia jeho služieb v očiach verejnosti. Ten razantne klesol po kauze Cambridge Analytica, ktorá spoločnosť stála na pokutách niekoľko miliárd dolárov a stratu miliónov používateľov.