Facebook исправил ошибку в приложении Messenger для Android, которая позволяла удаленному злоумышленнику звонить любым пользователям и прослушивать их еще до того, как они ответили на звонок. Этот баг обнаружила исследовательница Наталья Сильванович из команды Google Project Zero.
Уязвимость могла дать злоумышленнику, вошедшему в приложение, возможность одновременно звонить и отправлять специальное сообщение цели. Это провоцировало сценарий, при котором звонящий будет получать доступ к микрофону до тех пор, пока абонент не ответит или до истечения времени звонка.
Менеджер по безопасности Facebook Дэн Гурфинкель отметил, что они уже исправили ошибку. Однако у них нет данных по тому, сколько хакеров воспользовались уязвимостью.
Согласно технической записи Сильванович, недостаток крылся в WebRTC’s Session Description Protocol (SDP), который определяет стандартизированный формат для обмена потоковым мультимедиа между двумя конечными точками. Он позволяет злоумышленнику послать специальный тип сообщения, известный как SdpUpdate, тот вызовет соединение с устройством вызывающего абонента до того, как он ответит на звонок.
Эту уязвимость сравнивают с ошибкой, которую в прошлом году нашли в групповых чатах FaceTime от Apple. Он позволил пользователям инициировать видеозвонок FaceTime и подслушивать своих собеседников. В компании отметили, что исправили эту ошибку.
Читать также
На индонезийский дом упал метеорит. Его хозяин стал миллионером
Нейроны в мозге человека и сеть галактик оказались похожи
Из-за движения плит дно Тихого океана сейчас находится глубоко под Китаем