Facebook 修復 Android 版 Messenger 的資安漏洞
參考網站:
TWCERT/CC Facebook 修復 Android 版 Messenger 的資安漏洞
https://www.twcert.org.tw/tw/cp-104-4176-2d944-1.html
Facebook 日前修復一個 Facebook Messenger for Android 的嚴重資安漏洞;該漏洞可讓駭客竊聽語音對話內容,甚至受害者身邊的聲音而不被發現。
發現這個漏洞的資安專家,是 Google 旗下資安研究團隊 Project Zero 的 Natalie Silvanovich;專家指出在一般情形下,Facebook Messenger 只會在受話者按下通話按鈕後,才開始傳送音訊資料,但這個漏洞讓駭侵者只要先登入 Facebook Messenger,並且在撥打電話給受害者時同時送出特製的訊息,即可在受害者尚未接起電話時,就啟用音訊資料傳輸;駭侵者將可以竊聽受害者身邊的所有聲音。
這個漏洞出現在 Facebook Messenger 在實作 WebRTC 網路影音傳輸協定時發生的錯誤,受此漏洞影響的 Facebook Messenger for Android 版本為 284.0.0.16.119 與較舊的所有版本。
Natalie Silvanovich 在提報給 Facebook 的資安漏洞通報中,也提供了重現此漏洞的詳細操作步驟。值得注意的是,欲利用這個漏洞進行攻擊的駭侵者,必須擁有和受害者透過 Facebook Messenger 通話的權限,也就是說必須是受害者的朋友,或經受害者同意透過 Facebook Messenger 通話。
Facebook 於 10 月 6 日時接獲 Natalie Silvanovich 的資安漏洞通報,隨即於 11 月 17 日推出修復此漏洞的更新版本;所有在 Android 裝置上使用 Facebook Messenger 的用戶,應即更新至最新版本,以避免遭此漏洞攻擊。
• 影響產品/版本:Facebook Messenger for Android 284.0.0.16.119 與較舊版本
• 解決方案:升級至 Facebook Messenger for Android 最新版本
|