Το Facebook διόρθωσε ένα κρίσιμο ελάττωμα στην εφαρμογή ανταλλαγής μηνυμάτων Facebook Messenger για Android, το οποίο επέτρεψε στους καλούντες να ακούνε το περιβάλλον άλλων χρηστών χωρίς άδεια, πριν ο καλούμενος αποδεχτεί την κλήση !!.
Το Facebook Messenger για Android έχει εγκατασταθεί σε περισσότερες από 1 δισεκατομμύριο συσκευές Android, σύμφωνα με την επίσημη σελίδα του Play Store της εφαρμογής.
Οι εισβολείς θα μπορούσαν να είχαν εκμεταλλευτεί αυτό το σφάλμα, στέλνοντας έναν ειδικό τύπο μηνύματος γνωστό ως SdpUpdate, το οποίο θα προκαλούσε τη σύνδεση της κλήσης στη συσκευή του καλούμενου προτού απαντηθεί.
Όπως εξηγεί η Natalie Silvanovich, ερευνητής στο πρόγραμμα Project Zero της Google “Εάν αυτό το μήνυμα αποσταλεί στη συσκευή καλούμενου χρήστη, θα αναγκάσει να ξεκινήσει τη μετάδοση ήχου αμέσως ενώ ακόμα αυτή χτυπάει, κάτι που θα μπορούσε να επιτρέψει σε έναν εισβολέα να παρακολουθεί το περιβάλλον του καλούμενου”.
Κανονικά, ο αποδέκτης της κλήσης δεν μεταδίδει ήχο έως ότου συναινέσει να αποδεχτεί την κλήση, η οποία υλοποιείται όταν κάνει κλικ στο κουμπί αποδοχής. Τώρα αν όλο αυτό το διάστημα κάποιος σας καλούσε λίγο πιο επίμονα από το κανονικό, μάλλον θα πρέπει να το υποπτευθείτε. Ειδικά αν ήταν το έτερο σας ήμισυ.
Η Silvanovich βρήκε το ζήτημα στην έκδοση 284.0.0.16.119 του Facebook Messenger για Android τον περασμένο μήνα. Για να εκμεταλλευτεί αυτό το ζήτημα, ένας εισβολέας θα πρέπει να έχει ήδη τα δικαιώματα να καλέσει αυτό το συγκεκριμένο άτομο παρακάμπτοντας ορισμένους ελέγχους επιλεξιμότητας (π.χ. να είναι φίλοι στο Facebook). Θα πρέπει επίσης να γνωρίζει να χρησιμοποιεί εργαλεία αντίστροφης μηχανικής για να χειριστεί τη δική του εφαρμογή Messenger για να την αναγκάσει να στείλει ένα προσαρμοσμένο μήνυμα.
Το Facebook απένειμε στην Silvanovich μια δωρεά 60.000 $ για την εύρεση και αποκάλυψη αυτού του σφάλματος Messenger για Android.
Μόνο φέτος, το Facebook αναφέρει ότι περισσότερα από 1,98 εκατομμύρια δολάρια δόθηκαν σε ερευνητές από περισσότερες από 50 χώρες που ανέφεραν πάνω από 1.000 τρωτά σημεία.
Διαβάστε τις Τεχνολογικές Ειδήσεις από όλο τον κόσμο, με την εγκυρότητα του iGuRu.gr
Ακολουθήσετε μας στο Google News
Tixati 2.76 P2P client για torrent και magnet links
»
Comment Policy:
Tο iGuRu.gr δεν δημοσιεύει άμεσα τα σχόλια. Κακόβουλα σχόλια, σχόλια που συμπεριλαμβάνουν διαφημίσεις, ή σχόλια με ύβρεις διαγράφονται χωρίς καμία προειδοποίηση. Δεν υιοθετούμε τις απόψεις που εκφράζουν οι αναγνώστες μας.
Τα σχολιά σας θα εμφανιστούν μετά την έγκρισή τους από τους διαχειριστές