В Facebook Messenger исправлен баг, позволявший следить за пользователями
Компания Facebook устранила уязвимость в мобильном приложении Messenger, которая позволяла злоумышленнику прослушивать абонентов до того, как они ответили на звонок, 20 ноября сообщает портал The Hacker News.
Обнаруженная уязвимость могла дать злоумышленнику возможность прослушивать окружение вызываемого абонента с помощью микрофона смартфона до тех пор, пока абонент не ответил на вызов или вызов прекратился по истечении времени. Ошибка была обнаружена исследователем Натальей Сильванович, которая является участницей ИБ-проекта Google Project Zero.
Ошибка была порождена некорректной реализацией протокола WebRTC’s Session Description Protocol (SDP). В результате реализации протокола злоумышленник получал возможность послать специальный тип сообщения вызываемому абоненту, которое даст возможность запустить аудиотрансляцию без предварительного согласия другой стороны.
Менеджер по безопасности Facebook Дэн Гурфинкель заявил, что найденная ошибка уже исправлена. Кроме того, он отметил, что у компании нет данных относительно того, сколько хакеров могло воспользоваться данной уязвимостью.
Напомним, сходная уязвимость была обнаружена в 2019 году в групповых чатах FaceTime компании Apple. Она также позволяла злоумышленникам при помощи инициации видеозвонка подслушивать других пользователей. Ошибка компанией Apple была устранена.