У мобільній версії додатка Facebook Messenger усунули уразливість, за допомогою якої можна було прослуховувати оточення абонента.
За свідченням експерта, який знайшов баг, таємне підключення до цільового Android-пристрою у даному випадку виконується за кілька секунд, пише Threatpost.
Нову лазівку для шпигунів виявила учасниця проекту з кібербезпеки Google Project Zero Наталі Сілвановіч (Natalie Silvanovich).
У Facebook знахідку оцінили на 60 тисяч доларів – це один з найбільших призів, якими компанія нагороджує у рамках своєї програми для баг-хантерів.
Причиною появи уразливості, зі слів Сілвановіч, є некоректна реалізація протоколу SDP (Session Description Protocol, протокол опису сеансів передачі мультимедіа-даних).
Цей протокол є важливою частиною технології WebRTC (Web Real-Time Communication, комунікації в реальному часі), що дозволяє проводити конференції в браузері.
Під час встановлення WebRTC-з’єднання між мобільними пристроями відбувається короткий обмін повідомленнями. Відповідаючи на дзвінок, абонент натискає відповідну кнопку, підтверджуючи цим свою згоду на підключення і трансляцію аудіо.
Проводячи аудит месенджера Facebook, експерт виявила, що через помилки розробників зловмисник може за допомогою повідомлення SdpUpdate запустити аудіотрансляцію під час виклику – без відома і згоди адресата.
Це SDP-повідомлення не використовується під час активного з’єднання WebRTC, але його вкидання дозволить автору атаки почути через навушники все, що відбувається поруч з абонентом.
Експлуатація уразливості передбачає наявність дозволу на дзвінок обраної жертви – наприклад, зловмисник повинен бути у списку друзів на Facebook.
Сілвановіч провела пробну атаку на Android з установленим Facebook Messenger версії 284.0.0.16.119 і з’ясувала, що бажаний результат можна отримати за кілька секунд.
Радимо звернути увагу на поради, про які писав Cybercalm, а саме:
У Zoom нарешті доступне наскрізне шифрування: як увімкнути його на своєму пристрої?
Фішингові листи: розпізнаємо шахрайство на реальному прикладі
Як зупинити отримання SMS на свій смартфон із розсилкою від торгових мереж?
Як виміряти рівень кисню у крові за допомогою Apple Watch? – ІНСТРУКЦІЯ
Як увімкнути нову функцію відстеження миття рук на Apple Watch? – ІНСТРУКЦІЯ
Нагадаємо, компанія Google випустила чергові патчі для Android, загалом усунувши понад 30 уразливостей. Найсерйознішою з нових проблем, згідно з бюлетенем, є можливість віддаленого виконання коду (RCE), виявлена в одному з компонентів системи Android.
Також мешканця міста Хмельницький впіймали на розповсюдженні конфіденційної інформації користувачів мережі Інтернет, серед якої були логіни та паролі доступу до різних інтернет-ресурсів, електронних поштових скриньок, облікових записів соціальних мереж та електронних гаманців
До речі, у WhatsApp з’явилася довгоочікувана функція, що дозволяє автоматично видаляти повідомлення. Тепер користувачі можуть включити “Автовидалення” для особистих чатів, після чого відправлені повідомлення будуть зникати через сім днів. У групових бесідах тільки адміністратори можуть включити або відключити нововведення.
Зверніть увагу, що зловмисники зловживають функціоналом Google Диска і використовують його для розсилки нібито легітимних електронних листів і push-повідомлень від Google, які в разі відкриття можуть перенаправити людей на шкідливі web-сайти.
Окрім цього, нову вимагацьку кампанію, націлену на користувачів сервісу для відеоконференцій Zoom, виявили дослідники Bitdefender Antispam Lab. Мова йде про так зване “інтимне вимагання” (sextortion), яке припало до смаку зловмисникам останнім часом.