Messenger可被截聽漏洞 Facebook發放最高賞金

Messenger可被截聽漏洞 Facebook發放最高賞金

2020-11-20 Off By Genki

Google Project Zero 安全專家Natalie Silvanovich又再發現漏洞,指 Facebook 的Android app Messenger一條通訊協定設定失誤,可讓網絡罪犯在未經用戶授權下,非法截聽語音或視像通訊。Facebook亦守諾派出賞金獵人計劃下的最高6萬美元,漏洞嚴重程度有目共睹,用戶要盡快更新Messenger版本喇!

安全專家Natalie的來頭不小,近年經常在通訊應用程式上發掘隱藏漏洞,例如2018年發現iOS及Android版WhatsApp存在的重大漏洞,可讓網絡罪犯向用戶發出一個視像訊話請求後取得手機控制權,2019年又發現四個毋須用戶介入的iOS iMessage漏洞等等。而作為Google Project Zero的成員,她關注的主要是零日漏洞(Zero Day Vulnerabilities),如被網絡罪犯搶先利用,傷害性特高。

 

這次她發現的Facebook Messenger漏洞,是其WebRTC通訊協定下一個設定失誤,只要網絡罪犯對正在接受語音或視像通話來電時,發出一條特製短訊,即可自動打開語音傳輸,偷聽對方的說話及環境聲音,而毋須用戶作任何授權。Facebook方面在確認這個漏洞後,便即時向Natalie發放其賞金制度下的最高賞金6萬美元,不過,Natalie亦直接將賞金捐贈慈善評估機構GiveWell,根據他們的評審機制,將賞金投放到評分最高的慈善機構,最有效化地運用賞金幫助社會。

 

詳情:https://zd.net/36QF3A1