脸书修补Messenger上可遭窃听的安全漏洞

脸书在本周公布了自2011年执行漏洞挖掘奖励项目(Bug Bounty Program)以来10年的成果,意外披露了一个藏匿在Messenger上的安全漏洞,当用户利用Messenger拨电话给另一个用户时,就算对方尚未接听,用户就能听到对方的声音。该漏洞是由Google Project Zero团队成员Natalie Silvanovich所提报,而且获得了6万美元的高额奖金。

根据脸书的统计,这10年来全球总计有超过5萭名研究人员加入该公司的漏洞挖掘奖励项目,提交了超过13万份漏洞报告,并有来自107个国家的约1,500名研究人员所提交的6,900份报告获得奖金,取得最多奖金的国家依次是印度、突尼斯及美国。

此外,今年以来已收到1.7万份漏洞报告,其中有超过1,000份取得了总计198万美元的奖金。脸书也公布了今年获颁奖金最高的两个安全漏洞,一是由安全研究人员Selamet Hariyanto所披露的内容传送网络(Content Delivery Network,CDN)漏洞,该CDN是一个由脸书全球多个服务器所组成的网络,可供应内容给脸书的全球用户,Hariyanto发现,他能够访问已被列为过期之CDN网址的子集。

这理应只是个小漏洞,但脸书内部的研究人员在修补时发现,该漏洞在极少数的状况下有可能扩张成远程程序攻击,因而颁给Hariyanto高达8万美元的奖金。

第二个高额奖金则是由Google Project Zero团队成员Natalie Silvanovich取得。Silvanovich提报的是一个藏匿在Messenger上的漏洞,登录Messenger的黑客拨电话给受害者时,只要同时发送一个定制化的消息,且受害者同时打开了Android上的Messenger与另一个同账号的Messenger(例如网页版),即使对方未接听,也能在响铃时听到对方的声音。Silvanovich也因该漏洞获颁了6万美元的奖金。

Silvanovich是在今年10月7日提交该漏洞,原本预计会在90天之后,也就是明年的1月4日才公开漏洞细节,但随着脸书已修补并披露,其技术细节与概念性验证也跟着曝光。