Bug Facebook Messenger Memungkinkan Peretas Mendengarkan Anda Sebelum Anda Menerima Panggilan

Facebook telah menambal bug di aplikasi Messenger yang dipasang secara luas untuk Android yang dapat memungkinkan penyerang jarak jauh memanggil target yang tidak menaruh curiga dan mendengarkan mereka bahkan sebelum mereka menerima panggilan audio.

Cacat tersebut ditemukan dan dilaporkan ke Facebook oleh Natalie Silvanovich dari tim pemburu bug Project Zero Google bulan lalu pada tanggal 6 Oktober dengan tenggat waktu 90 hari, dan memengaruhi versi 284.0.0.16.119 (dan sebelumnya) Facebook Messenger untuk Android.

Singkatnya, kerentanan bisa saja memberikan penyerang yang masuk ke aplikasi untuk secara bersamaan memulai panggilan dan mengirim pesan yang dibuat khusus ke target yang masuk ke aplikasi serta klien Messenger lain seperti browser web .

"Ini kemudian akan memicu skenario di mana, saat perangkat berdering, penelepon akan mulai menerima audio baik sampai orang yang dipanggil menjawab atau waktu panggilan habis," kata Manajer Teknik Keamanan Facebook Dan Gurfinkel.

Menurut laporan teknis oleh Silvanovich, kekurangan tersebut terletak pada Protokol Deskripsi Sesi (SDP) WebRTC - yang mendefinisikan format standar untuk pertukaran media streaming antara dua titik akhir - memungkinkan penyerang mengirim jenis pesan khusus yang dikenal sebagai " SdpUpdate "yang akan menyebabkan panggilan terhubung ke perangkat callee sebelum dijawab.

Panggilan audio dan video melalui WebRTC biasanya tidak mengirimkan audio sampai penerima mengklik tombol terima, tetapi jika pesan "SdpUpdate" ini dikirim ke perangkat lain saat berdering, "ini akan menyebabkannya segera mulai mentransmisikan audio, yang memungkinkan penyerang memantau lingkungan sekitar callee. "

Dalam beberapa hal, kerentanan memiliki kesamaan dengan kelemahan pengikis privasi yang dilaporkan dalam fitur obrolan grup FaceTime Apple tahun lalu yang memungkinkan pengguna untuk memulai panggilan video FaceTime dan menguping target dengan menambahkan nomor mereka sendiri sebagai orang ketiga. dalam obrolan grup bahkan sebelum lawan bicara menerima panggilan masuk.

Kesalahan itu dianggap begitu parah sehingga Apple menarik semua obrolan grup FaceTime sebelum mengatasi masalah tersebut dalam pembaruan iOS berikutnya.

Tetapi tidak seperti bug FaceTime, mengeksploitasi masalah tidak semudah itu. Penelepon harus sudah memiliki izin untuk menelepon orang tertentu - dengan kata lain, penelepon dan penerima harus menjadi teman Facebook untuk melakukan ini.

Terlebih lagi, serangan tersebut juga mengharuskan pelaku kejahatan menggunakan alat rekayasa balik seperti Frida untuk memanipulasi aplikasi Messenger mereka sendiri untuk memaksanya mengirim pesan "SdpUpdate" khusus.

Silvanovich dianugerahi bug bounty $ 60.000 untuk melaporkan masalah tersebut, salah satu dari tiga bug bounty Facebook tertinggi hingga saat ini, yang menurut peneliti Google dia sumbangkan ke organisasi nirlaba bernama GiveWell.

Ini bukan pertama kalinya Silvanovich menemukan kelemahan kritis dalam aplikasi perpesanan, yang sebelumnya telah menemukan sejumlah masalah di WhatApp, iMessage, WeChat, Signal, dan Reliance JioChat, beberapa di antaranya telah menemukan "perangkat callee untuk mengirim audio tanpa interaksi pengguna . "


Posted On 21 November 2020 at 10:45:41


Shared With : Shortlink





Another News
How Democrasies Die? Penulis Steven Levitsky & Daniel Ziblatt dalam bahasa Indonesia

Apakah demokrasi kita dalam bahaya?  Ini adalah pertanyaan yang tidak pernah terpikir akan..

Demo Penolakan Imam Besar Habib Rizieq Syihab di Makassar Dibubarkan Warga

Demonstrasi penolakan imam besar habib rizieq syihab disejumlah daerah di Indonesia. Demonstrasi..

Turki Mengirim Bantuan Obat-Obatan ke Palestina

Turki pada hari Senin mengirim materi bantuan medis ke Palestina untuk membantu perjuangannya..

Pengusaha Turki Membuat Sushi dengan Pastrami Turki yang Pedas

Seorang pengusaha Turki dari provinsi Anatolia tengah Kayseri telah menemukan kombinasi unik dari..

Pfizer-BioNTech Mengajukan Permohonan Izin Darurat UE untuk Vaksin COVID-19

Pfizer Inc dan BioNTech telah mengajukan permohonan kepada regulator obat Eropa untuk otorisasi..

Most Popular Articles
Article
Cara Memperbaiki Foot Step

Foot Step atau pijakan kaki menjadi komponen penting pada motor. Bagian ini sangat menentukaan..

Article
Tips Menjaga Kulit Tetap Putih

Kulit menjadi bagian tubuh terluar yang dapat kita katakan sangat penting. Kenapa ? Karna kulit..