Facebook chi 60.000 USD cho phát hiện lỗ hổng trong Messenger trên Android

Nhà nghiên cứu bảo mật Natalie Silvanovich của Google Project Zero đã phát hiện ra lỗ hổng khi người dùng thực hiện cuộc gọi trên ứng dụng Messenger của nền tảng Android. Và nếu không được vá, tin tặc có thể lợi dụng micro trên điện thoại để nghe lén mà người dùng không hề hay biết.

Natalie Silvanovich giải thích rằng, trong Facebook Messenger, âm thanh và video được thiết lập trong WebRTC (Web Real-Time Communication) thông qua một loạt các tin nhắn rút gọn được trao đổi giữa người gọi và người nhận.

"Thông thường, thiết bị nhận cuộc gọi sẽ không truyền âm thanh cho tới khi người nhận đồng ý chấp nhận cuộc gọi, điều này được thực hiện bằng cách không gọi lệnh setLocalDescription cho tới khi người nhận nhấn vào nút chấp nhận. Tuy nhiên, có một loại thông báo không được sử dụng để thiết lập cuộc gọi, SdpUpdate, khiến setLocalDescription được gọi ngay lập tức" nhà nghiên cứu bảo mật giải thích.

Nếu kẻ tấn công gửi thông báo đó tới thiết bị của người nhận khi nó đang đổ chuông, âm thanh sẽ truyền đi ngay lập tức, do đó kẻ tấn công sẽ theo dõi hoạt động của người dùng mục tiêu.

Nhà nghiên cứu giải thích: "Để tái lập lại sự cố, cả kẻ tấn công và người nhận cuộc gọi cần phải đăng nhập vào Facebook Messenger trên thiết bị của họ. Hơn nữa, mục tiêu cần phải đăng nhập vào Facebook trên một trình duyệt với cùng một tài khoản. Điều này sẽ đảm bảo làm chậm thiết lập cuộc gọi sử dụng các cuộc gọi đã bị trễ cho chiến lược setLocalDescription".

Mã POC (Proof of concept code) đã được đưa lên cổng Project Zero. Mã đã được kiểm thử trên Facebook Messenger cho Android phiên bản 284.0.0.16.119.

Natalie Silvanovich đã báo cáo lỗ hổng cho Facebook vào đầu tháng 10 và một bản vá đã được phát hành vào ngày 17/11.

Facebook đã trao số tiền thưởng 60.000 USD cho phát hiện của nhà nghiên cứu này và cô đã dùng số tiền đó quyên góp cho tổ chức từ thiện. Facebook cho biết họ cũng sẽ quyên góp số tiền tương tự cho tổ chức từ thiện này.