Facebook behob eine Sicherheitslücke, die unautorisiertes Abhören bei der Android-Messenger-App durch Angreifer ermöglichte.
Facebook hat gestern in seiner weit verbreiteten Android-Messenger-App eine große Sicherheitslücke geschlossen. Der Bug hätte es einem Angreifer aus der Ferne ermöglicht, ahnungslose Ziele anzurufen und diese abzuhören. Und dies, auch ohne dass die Opfer den Audioanruf entgegengenommen hätten.
Natalie Silvanovich, Sicherheitsforscherin bei Googles Project Zero, entdeckte die Lücke in Facebooks Android-Messenger-App im vergangenen Monat, am 6. Oktober, bei einem Sicherheitsaudit. In einem veröffentlichten Fehlerbericht gibt sie an, der Fehler liege im WebRTC-Protokoll, das die Messenger-App zur Unterstützung von Audio- und Videoanrufen verwendet. Konkret liege das Problem jedoch im Session Description Protocol (SDP), einem Teil von WebRTC. Dieses Protokoll verarbeitet Sitzungsdaten für WebRTC-Verbindungen. Wie die Forscherin feststellte, könne infolge eine SDP-Nachricht dazu missbraucht werden, um WebRTC-Verbindungen auch ohne Benutzerinteraktion automatisch zu genehmigen.
„Es gibt einen Nachrichtentyp, der nicht für den Verbindungsaufbau, verwendet wird. Wenn diese Nachricht an das Gerät des Angerufenen gesendet wird, während es klingelt, veranlasst sie dieses dazu, sofort mit der Audioübertragung zu beginnen. Das könnte es einem Angreifer ermöglichen, die Umgebung des Angerufenen zu überwachen.“
Facebooks Bug-Bounty-Prämie fließt in GiveWell-Spende
Silvanovich hat das Problem letzten Monat an Facebook gemeldet. Der Social-Media-Riese hat es dann gestern in einem Update seiner Android-Messenger-App gepatcht. Der Bug betrifft die Version 284.0.0.16.119 (und früher). „Dieser Bericht gehört mit 60.000 US-Dollar zu unseren drei höchsten Bug-Bounties, was seine maximale potenzielle Auswirkung widerspiegelt“, informierte Facebook. In einer Twitter-Nachricht teilt Silvanovich mit, Facebook habe ihr eine Bug-Bounty-Prämie in Höhe von 60.000 US-Dollar für die Meldung des Problems zugesprochen. Allerdings wolle die Sicherheitsforscherin das zugesprochene Geld an GiveWell spenden, eine gemeinnützige Organisation, die Wohltätigkeitsaktivitäten für eine maximale Mittelverwendung koordiniert. In den vergangenen Jahren hat Silvanovich bereits ähnliche Probleme auch in anderen Instant Messaging-Anwendungen gefunden und gemeldet. Darunter in WhatApp, iMessage, WeChat, Signal und Reliance JioChat. Alle von ihnen wurden in der Folge gepatcht.
Der Bug funktioniert unter folgenden Vorraussetzungen
„Um dieses Problem auszunutzen, muss ein Angreifer bereits über die Berechtigung verfügen, diese bestimmte Person anzurufen, indem er bestimmte Berechtigungsprüfungen besteht (z. B. Freunde auf Facebook sein). Sie müssten auch Reverse Engineering-Tools verwenden, um ihre eigene Messenger-Anwendung zu bearbeiten und sie zum Senden einer benutzerdefinierten Nachricht zu zwingen.“
Facebook betreibt sein Bug-Bounty-Programm bereits seit 2011. Daran teil nehmen externe Forscher, die Sicherheit und den Datenschutz von Facebook-Produkten und -Systemen verbessern durch das Melden potenzieller Sicherheitslücken. Das Programm hilft Facebook dabei, „Probleme schneller zu erkennen und zu beheben, um unsere Community besser zu schützen, und die Belohnungen, die wir qualifizierten Teilnehmern zahlen, fördern eine qualitativ hochwertigere Sicherheitsforschung.„, bekundet Dan Gurfinkel, Security Engineering Manager bei Facebook. In den letzten zehn Jahren haben sich infolge mehr als 50.000 Forscher diesem Programm angeschlossen. Rund 1.500 Forscher aus 107 Ländern erhielten insofern ein Kopfgeld.
Tarnkappe.info
