Messenger惊曝黑客可监控用户的安全瑕疵

Facebook上周四修补了适用Android系统之Messenger App中一个主要的安全瑕疵,该漏洞可能允许攻击者在信号者不知情或不需交互的情况下进行和连接Messenger语音通话。这个有可能被黑客滥用于经由Android手机监控Facebook用户的安全弱点,是由Google Project Zero安全团队研究人员Natalie Silvanovich在一次安全审核期间发现的。

Silvanovich在上周四公布的瑕疵报告中指出,该瑕疵常驻于WebRTC协议之中,Messenger App会使用该协议来支持语音与视频通话。Silvanovich更具体地表示,该问题常驻在会话描述协议(SDP)之中,它是WebRTC协议的一部分。该协议会处理WebRTC连接的会话资料,Silvanovich发现SDP消息可能会被滥用来自动批准WebRTC连接,而无需用户的交互。

“有一种不用于通话创建的消息类型,也即SdpUpdate,”Silvanovich解释说。“如果在提醒铃声响起时将此消息发送到信号者设备上,它将导致音频立即开始传输,这有可能让攻击者能监控信号者周边的一切。”根据Silvanovich的瑕疵报告指出,运用此瑕疵来发动攻击只需几秒钟的时间。

Google研究人员上个月向Facebook通报了这个安全问题,这家社交媒体巨头上周四发布了能修补其Android系统版Messgenger App的更新程序。Facebook上周四指出:“这份报告所获奖励跻身我们史上前三大漏洞挖掘赏金之列,金额达6万美元,这反映出它最大的潜在影响。”

Silvanovich在一篇推文中指出,她因为通报该安全问题而获得Facebook授赠的60,000美元漏洞挖掘赏金,这位Google研究人员最后选择将赏金捐赠给非营利组织GiveWell(一家会最大限度运用资金以协调举办各种慈善活动的慈善组织)。

在过去几年中,Silvanovich还发现并通报了其他即时消息App中的类似安全问题,这是她的专业领域之一。在2018年10月,她在Android和iOS版WhatsApp中发现一个漏洞,该漏洞让攻击者可在用户接听视频通话之后全面接管该App。在2019年7月,Silvanovich在iOS iMessage App中发现了4个无需交互就能触发攻击的安全瑕疵。在同一个月,她还发现了第5个iMessage瑕疵,该瑕疵会导致iPhone无法正常开机。

(首图来源:Facebook Messenger)