บั๊กใน Facebook Messenger บน Android ส่งผลให้ผู้โจมตีสามารถแอบโทรและดักฟังเสียงได้

บั๊กใน Facebook Messenger บน Android ส่งผลให้ผู้โจมตีสามารถแอบโทรและดักฟังเสียงได้

นักวิจัยด้านความปลอดภัยของ Google Zero ค้นพบข้อบกพร่องของ Facebook Messenger ที่ทำให้ผู้โจมตีสามารถทำการโทร และเริ่มดักฟังเสียงได้ทันที ความรุนแรงของข้อผิดพลาดทำให้ Facebook ได้รับรางวัลที่ใหญ่ที่สุดเท่าที่เคยมีมา

ช่องโหว่นี้ เหยื่อไม่ต้องมีการโต้ตอบใด ๆ ในกรณีนี้ผู้โจมตีจะได้รับข้อมูลเสียงตั้งแต่ผู้รับสายทำการรับสาย จนหมดเวลาหรือวางสายลง นอกจากนี้ยังสามารถส่งข้อความที่กำหนดเองได้โดยใช้เครื่องมือเพื่อ Re-engineering โชคดีที่ผู้โจมตียังต้องปฏิบัติตามเงื่อนไขบางประการเพื่อให้ช่องโหว่ถูกใช้ประโยชน์ได้

“ในการใช้ประโยชน์จากปัญหานี้ผู้โจมตีจะต้องมีสิทธิ์ในการโทรหาบุคคลนี้โดยผ่านการตรวจสอบคุณสมบัติบางอย่าง (เช่น เป็นเพื่อนบน Facebook)” Facebook กล่าว 

นักวิจัยด้านความปลอดภัย Natalie Silvanovich ได้เผยแพร่รายละเอียดเกี่ยวกับข้อบกพร่องนี้ ซึ่งรวมถึงการพิสูจน์แนวคิดและขั้นตอนที่แน่นอนที่ผู้โจมตีจะต้องดำเนินการเพื่อการบุกรุก

"มีประเภทข้อความที่ไม่ได้ใช้สำหรับการตั้งค่าการโทร SdpUpdate ซึ่งทำให้ setLocalDescription ถูกเรียกทันที" Silvanovich อธิบาย “หากข้อความนี้ถูกส่งไปยังอุปกรณ์ callee ในขณะที่กำลังโทรหา ข้อความนี้จะเริ่มส่งเสียงทันที ซึ่งอาจทำให้ผู้โจมตีสามารถตรวจสอบสภาพแวดล้อมของผู้เรียกใช้งานได้”

การพิสูจน์แนวคิดนี้ ได้รับการทดสอบบนเวอร์ชัน 284.0.0.16.119 ของ Facebook Messenger สำหรับ Android Facebook ได้รับกำหนดเวลาการเปิดเผยข้อมูล 90 วัน และปล่อยอัปเดตสำหรับแอปพลิเคชันก่อนที่รายละเอียดจะเผยแพร่สู่สาธารณะ

“หลังจากแก้ไขข้อบกพร่องที่รายงานทางฝั่งเซิร์ฟเวอร์แล้ว นักวิจัยด้านความปลอดภัยของเรา ใช้การป้องกันเพิ่มเติมกับปัญหานี้ในแอปของเราที่ใช้งานโปรโตคอลเดียวกัน สำหรับการโทรแบบ 1 ต่อ 1” Facebook กล่าว “รายงานนี้เป็นหนึ่งในสามรางวัลการหาบั๊กสูงสุดของเราที่ 60,000 เหรียญสหรัฐ ซึ่งสะท้อนถึงผลกระทบที่อาจเป็นไปได้สูงสุด” 

BitdefenderTotal Security

Regular Price: ฿999.00

ประหยัด:฿549.45

Special Price: ฿449.55

Post Releases