ثغرة في تطبيق المسنجر الخاص بفيس بوك يسمح للمتصل بالتجسس على الطرف الآخر
قبل أن يقوم بالرد على المكالمة
قام فيسبوك Facebook بتصحيح ثغرة أمنية في تطبيق مسنجر Messenger الخاص بنظام أندرويد Android.
الثغرة المصححة كانت تسمح لمهاجم عن بُعد بالاتصال بشخص ما عبر المسنجر، والاستماع إليهم دون أن يقوم الطرف الآخر (الضحية) بقبول الاتصال.
وتم اكتشاف الخلل وإبلاغه إلى فيس بوك Facebook بواسطة Natalie Silvanovich من فريق Project Zero Bug-Hunting الخاص بجوجل Google.
وتؤثر هذه الثغرة على الإصدار رقم 284.0.0.16.119 (وما قبله) من Facebook Messenger لنظام الأندرويد Android.
ولبدء الهجوم، سيتعين على المهاجم بدء مكالمة، مع إرسال رسالة غير مرئية مصنوعة خصيصاً وفي نفس الوقت، وسيكون بإمكانهم الاستماع إلى صوت الضحية، حتى إذا لم ترد على المكالمة.
لحسن الحظ ، كانت هذه الثغرة قابلة للاستغلال فقط في ظروف خاصة وتتطلب أدوات محددة، على سبيل المثال، سيحتاج كل من المهاجم والضحية إلى تسجيل الدخول عبر مسنجر Messenger الخاص بنظام أندرويد Android.
بالإضافة إلى ذلك، يحتاج الضحيَّة أيضاً إلى تسجيل الدخول إلى مسنجر Messenger من خلال متصفح الويب، علاوة على ذلك، سيحتاج المهاجم إذناً للاتصال بالضحية، مما يعني أنه يجب أن يكون موجوداً بالفعل في قائمة أصدقاء الضحية.
ولم يكن تطبيق مسنجر هو الوحيد المتأثر، حيث تم اكتشاف ثغرات مشابهة في تطبيقات الاتصال الأخرى مثل Signal و Mocha و JioChat، وقد تم تصحيحها جميعاً.
ضمن نفس السياق فقد أصلحت آبل Apple العام الماضي، الخطأ الذي يسمح لجهات الاتصال الخاصة بك بالتنصت عليك من خلال فيس تايم FaceTime.
من جانبها اعترفت فيسبوك Facebook بهذه الثغرة، وكشفت عن تفاصيل أخرى حولها، حيث قال دان جورفينكل، مدير هندسة الأمن في فيسبوك: “أثناء رنين الجهاز، سيبدأ المتصل في تلقي الصوت إما حتى يتم الاتصال بالرد، أو حتى انتهاء مهلة المكالمة”.
وقالت فيس بوك إنها دفعت 11.7 مليون دولار للباحثين الأمنيين مقابل 6,900 تقرير خطأ مقبول من بين أكثر من 130 ألف تم تقديمها، في الشهر الماضي فقط.
كما كشفت الشبكة الاجتماعية عن برنامج جديد سمته هاكرز بلس Hacker Plus، لتحفيز محققي الأخطاء على اكتشاف نقاط الضعف في منصات Facebook.
التعليقات مغلقة.