Facebook 修復 Android 版 Messenger 的資安漏洞

參考網站：

TWCERT/CC Facebook 修復 Android 版 Messenger 的資安漏洞

https://www.twcert.org.tw/tw/cp-104-4176-2d944-1.html

 

Facebook 日前修復一個 Facebook Messenger for Android 的嚴重資安漏洞；該漏洞可讓駭客竊聽語音對話內容，甚至受害者身邊的聲音而不被發現。

發現這個漏洞的資安專家，是 Google 旗下資安研究團隊 Project Zero 的 Natalie Silvanovich；專家指出在一般情形下，Facebook Messenger 只會在受話者按下通話按鈕後，才開始傳送音訊資料，但這個漏洞讓駭侵者只要先登入 Facebook Messenger，並且在撥打電話給受害者時同時送出特製的訊息，即可在受害者尚未接起電話時，就啟用音訊資料傳輸；駭侵者將可以竊聽受害者身邊的所有聲音。

 

這個漏洞出現在 Facebook Messenger 在實作 WebRTC 網路影音傳輸協定時發生的錯誤，受此漏洞影響的 Facebook Messenger for Android 版本為 284.0.0.16.119 與較舊的所有版本。

Natalie Silvanovich 在提報給 Facebook 的資安漏洞通報中，也提供了重現此漏洞的詳細操作步驟。值得注意的是，欲利用這個漏洞進行攻擊的駭侵者，必須擁有和受害者透過 Facebook Messenger 通話的權限，也就是說必須是受害者的朋友，或經受害者同意透過 Facebook Messenger 通話。

 

Facebook 於 10 月 6 日時接獲 Natalie Silvanovich 的資安漏洞通報，隨即於 11 月 17 日推出修復此漏洞的更新版本；所有在 Android 裝置上使用 Facebook Messenger 的用戶，應即更新至最新版本，以避免遭此漏洞攻擊。

• 影響產品/版本：Facebook Messenger for Android 284.0.0.16.119 與較舊版本

• 解決方案：升級至 Facebook Messenger for Android 最新版本