Acceuil / Malwares / Vulnerabilités / Facebook Messenger Bug permet aux pirates de vous écouter avant de prendre l’appel

Facebook Messenger Bug permet aux pirates de vous écouter avant de prendre l’appel

Facebook a corrigé un bogue dans son application Messenger largement installée pour Android qui aurait pu permettre à un attaquant distant d’appeler des cibles sans méfiance et de les écouter avant même qu’ils ne décrochent l’appel audio.

messenger bug 2020 messenger bug iphone messenger bug actif messenger bug message messenger bug notification messenger bug sondage messenger bug ce soir messenger bug ios messenger bug report messenger bug android messenger bug always online messenger bug apple bug messenger aujourd'hui bug messenger apple watch bug messenger avril 2019 bug messenger aout 2019 the messenger bug mise a jour messenger bug bugos a messenger bug messenger facebook messenger facebook bug messenger bug bounty bug bulle messenger bug blocage messenger big messenger bag messenger bug connexion messenger bug can't send photos messenger bug conversation messenger bug clavier messenger camera bug messenger video call bug bug messenger impossible de charger les conversations messenger bug telechargement de la photo bug messenger photo de profil bug messenger message disparu bug de messenger bug deblocage messenger bug di messenger messenger bug en ligne messenger emoji bug bug messenger envoi photo bug messenger envoi message bug messenger et instagram bug messenger et facebook bug messenger envoi video bug messenger statut en ligne messenger bug fix messenger bug facebook bug messenger facebook iphone messenger video bug fix fb messenger bug bug facebook messenger instagram bug football messenger facebook messenger bug son bug messenger groupe bug gif messenger messenger appel de groupe bug google messenger bug the messenger game bug messenger chat head bug messenger bug ios 13 messenger bug images messenger bug ipad messenger bug ios 14 messenger bug iphone x messenger bug iphone 11 messenger bug in another call bug messenger juillet 2019 bug messenger juin 2019 bug messenger juin 2020 bug messenger jeux bug messenger janvier 2020 bug messenger 3 juillet 2019 bug messenger 15 juin 2020 messenger bug mise a jour fb messenger keyboard bug kik messenger bug messenger keyboard bug ipad messenger keyboard bug ios messenger keyboard bug messenger lite bug bug messenger message non lu bug messenger personne en ligne bug messenger toujours en ligne messenger bug mac messenger bug meaning bug messenger message non recu bug messenger message invisible bug messenger message supprimé bug messenger messenger bug nickname bug messenger novembre 2019 facebook messenger notification bug messenger ecran noir bug bug notification messenger iphone messenger bug online bug messenger octobre 2019 facebook messenger online bug bug on messenger bug out messenger bag messenger bug photo messenger pc bug bug messenger pseudo facebook messenger photo bug messenger qui bug messenger qui bug iphone messenger facebook qui bug mystic messenger bug report signal messenger bug report bug reaction messenger facebook messenger bug report cheritz mystic messenger bug report messenger bug sur iphone messenger bug september 2020 messenger story bug messenger sound bug bug messenger septembre 2020 bug messenger son messenger bug today messenger bug tablette messenger bug twitter tarkov messenger bug messenger update bug messenger new update bug bug in messenger messenger inaccessible problemes messenger probleme sur messenger problèmes messenger messenger bug video bug messenger vocal bug messenger vu facebook messenger video bug bug visio messenger bug messenger whatsapp bug messenger wiko bug with messenger bug messenger iphone xr xiaomi messenger bug messenger 1970 bug bug messenger 18 novembre 2019 messenger bug 2019 sondage messenger bug 2020 bug messenger iphone 2020 witcher 2 messenger bug messenger bug iphone 5s messenger bug iphone 6 messenger bug iphone 7 bug messenger iphone 8

La faille a été découverte et signalée à Facebook par Natalie Silvanovich de l’équipe de chasse aux bogues Project Zero de Google le 6 octobre dernier avec un délai de 90 jours, et a un impact sur la version 284.0.0.16.119 (et antérieure) de Facebook Messenger pour Android.

En un mot, la vulnérabilité aurait pu permettre à un attaquant connecté à l’application de lancer simultanément un appel et d’envoyer un message spécialement conçu à une cible qui est connectée à la fois à l’application et à un autre client Messenger tel que le navigateur Web. .

« Cela déclencherait alors un scénario où, pendant que l’appareil sonne, l’appelant commencerait à recevoir de l’audio jusqu’à ce que la personne appelée réponde ou que l’appel expire », a déclaré Dan Gurfinkel, responsable de l’ingénierie de la sécurité de Facebook.

Selon une rédaction technique de Silvanovich, la faille réside dans le protocole de description de session (SDP) de WebRTC – qui définit un format standardisé pour l’échange de flux multimédia entre deux terminaux – permettant à un attaquant d’envoyer un type spécial de message appelé  » SdpUpdate « qui provoquerait la connexion de l’appel au périphérique de l’appelé avant qu’il ne soit répondu.

Les appels audio et vidéo via WebRTC ne transmettent généralement pas d’audio tant que le destinataire n’a pas cliqué sur le bouton d’acceptation, mais si ce message «SdpUpdate» est envoyé à l’autre appareil pendant qu’il sonne, «il commencera immédiatement à transmettre l’audio, ce qui pourrait permettre à un attaquant de surveiller l’environnement de l’appelé.  »

pirater Facebook
À certains égards, la vulnérabilité ressemble à une faille érodant la confidentialité qui a été signalée dans la fonction de discussion de groupe FaceTime d’Apple l’année dernière qui a permis aux utilisateurs de lancer un appel vidéo FaceTime et d’écouter les cibles en ajoutant leur propre numéro en tant que troisième personne. dans une discussion de groupe avant même que la personne à l’autre bout du fil n’accepte l’appel entrant.

La gaffe a été jugée si grave qu’Apple a complètement interrompu les discussions de groupe FaceTime avant de résoudre le problème dans une mise à jour iOS ultérieure.

Mais contrairement au bogue FaceTime, exploiter le problème n’est pas si simple. L’appelant devrait déjà avoir les autorisations pour appeler une personne spécifique – en d’autres termes, l’appelant et l’appelé devraient être des amis Facebook pour y parvenir.

De plus, l’attaque nécessite également que le mauvais acteur utilise des outils de rétro-ingénierie comme Frida pour manipuler sa propre application Messenger afin de la forcer à envoyer le message personnalisé « SdpUpdate ».

Silvanovich a reçu une prime de bogue de 60000 $ pour avoir signalé le problème, l’une des trois primes de bogue les plus élevées de Facebook à ce jour, que la chercheuse de Google a déclaré qu’elle faisait don à une organisation à but non lucratif nommée GiveWell.

Ce n’est pas la première fois que Silvanovich découvre des failles critiques dans les applications de messagerie, qui a déjà découvert un certain nombre de problèmes dans WhatApp, iMessage, WeChat, Signal et Reliance JioChat, dont certains ont trouvé le « périphérique appelé pour envoyer de l’audio sans interaction de l’utilisateur. .  »

A propos de admin-ouss

Je suis un Ingénieur en Cybersecurité, passionné par les nouveautés dans le monde cybernétique. Je vous ramène à travers mes articles les nouveautés du monde de la sécurité informatique.

Consulter aussi cet article :

Les cyberattaques et malwares les plus spectaculaires de 2020 !

Rien n’était normal en 2020. Nos idées de travailler à partir de bureaux, de réunions …

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *