Chyba v aplikácii Messenger od Facebooku umožňovala odpočúvať užívateľov


Dňa 6. októbra sa podarilo objaviť závažnú bezpečnostnú chybu v sociálnej sieti Facebook, konkrétne v aplikácii Messenger pre mobilný operačný systém Android. Chybu objavila bezpečnostná špecialistka Natalie Silvanovich z tímu Google Project Zero, ktorý sa venuje práve hľadaniu zraniteľností v softvéri.

Nájdená chyba umožňovala útočníkom odpočúvať obeť cez mikrofón mobilného zariadenia. V aplikácii Messenger sa obeti objavil prichádzajúci hovor a pokiaľ hovor neprijala alebo neodmietla, tak sa prenášal zvuk z cieľového mobilného zariadenia. Zvuk sa prenášal, až pokým hovor nebol odmietnutý, alebo ukončený ako neprijatý. To znamená, že útočník mohol obeť opakovane a nepretržite odpočúvať až desiatky sekúnd.

Aby bolo možné chybu využiť, tak musela byť obeť prihlásená na aspoň dvoch zariadeniach. Napríklad na mobilnom telefóne v aplikácii Messenger a na domácom počítači v sieti Facebook. Toto je ale bežný scenár a väčšina užívateľov sociálnej siete Facebook je skutočne prihlásená najmenej na dvoch zariadeniach.

Útok bol následne realizovaný tak, že na mobilné zariadenie s Android aplikáciou bol inicializovaný hovor a na druhé zariadenie (napr. počítač, tablet a pod.) bola zaslaná špeciálna správa, ktorá spôsobila to, že sa spustil zvukový prenos z mobilného zariadenia aj bez prijatia hovoru.

Aktuálne je chyba už opravená a zneužitie vyššie popísanej chyby by nemalo byť možné.