Facebook behebt den Messenger-Fehler, mit dem Hacker Android-Benutzern zuhören können

Haben Sie sich jemals gefragt, ob jemand ausspioniert, was Sie online tun? Was ist, wenn jemand die Nachrichten überwacht, die Sie empfangen und gesendet haben, beispielsweise Facebook Messenger? Wie würden Sie reagieren, wenn tatsächlich jemand Ihre Messenger-Anrufe abhört?

Es ist entsetzlich, oder? Leider war dies bei einem Messenger-Fehler der Fall, bei dem Hacker Ihre Audioanrufe über die Android-App abhören können.

Das Gute war jedoch, dass Facebook diesen kritischen Fehler, der Benutzer ausspioniert, ohne dass sie es wussten, schnell behoben hat.

Lesen Sie: Studie zeigt, dass Google Play Store der Hauptvertriebshändler für schädliche Apps ist

Mit dem Messenger für Android-Fehler können Hacker Audioanrufe abhören

Das Problem wurde erstmals auf Facebook von Natalie Silvanovich vom Google Project Zero Bug-Hunting-Team entdeckt. Es wurde auch am 6. Oktober mit einer Frist von 90 Tagen gemeldet. Dies betrifft die Version 284.0.0.16.119 (und früher) der Android-App von Facebook Messenger.

Der besagte Fehler, der in der weit verbreiteten Messenger-App für Android gefunden wurde, ermöglicht es Hackern, Anrufe an ahnungslose Ziele abzuhören, bevor sie den Anruf überhaupt annehmen können.

Mit dem Messenger für Android-Fehler können Hacker Audioanrufe abhörenMit dem Messenger für Android-Fehler können Hacker Audioanrufe abhören

Es scheint, als würde die Sicherheitsanfälligkeit einem in der App angemeldeten Angreifer die Möglichkeit geben, gleichzeitig personalisierte Nachrichten anzurufen und an ein ahnungsloses Opfer zu senden, das sowohl in der Messenger-App als auch im Webbrowser angemeldet ist.

Laut Dan Gurfinkel, Security Engineering Manager bei Facebook, “… würde dies ein Szenario auslösen, in dem der Anrufer während des Klingelns des Geräts entweder Audio empfängt, bis die angerufene Person antwortet oder der Anruf abläuft.”

Wie in Silvanovichs technischem Bericht angegeben, belegt der Fehler das Session Description Protocol (SDP) des WebRTC, das ein standardisiertes Format für den Austausch von Streaming-Medien zwischen zwei Endpunkten definiert. Auf diese Weise kann ein Angreifer eine speziell gestaltete Nachricht senden, die als “SdpUpdate” bezeichnet wird und es einem Anruf ermöglicht, eine Verbindung zum Gerät des Opfers herzustellen, noch bevor der Anruf beantwortet wurde.

Video- und Audioanrufe über WebRTC übertragen normalerweise kein Audio, bis der Empfänger den Anruf angenommen hat. Die Nachricht „SdpUpdate“, die während des Klingelns an das andere Gerät gesendet wird, führt jedoch dazu, dass es sofort mit der Audioübertragung beginnt, wodurch ein Angreifer die Umgebung des Angerufenen überwachen kann.

Lesen Sie auch: Die häufigsten Passwörter im Jahr 2020 – Wenn Ihre Passwörter auf dieser Liste stehen, ändern Sie sie sofort

Facebook hat den Messenger-Fehler behoben

Facebook hat den Messenger-Fehler behobenFacebook hat den Messenger-Fehler behoben

Dieser Fehler soll der FaceTime-Gruppen-Chats-Funktion von Apple im letzten Jahr ähneln. Apple hatte mit einem technischen Problem zu kämpfen, das es Benutzern ermöglichte, einen FaceTime-Anruf einzuleiten und die Opfer zu belauschen, indem sie einfach ihre eigenen Nummern als dritte Person in einem Gruppenchat hinzufügten – noch bevor die Person auf der anderen Leitung den Anruf annimmt.

Es wurde als so ernst angesehen, dass Apple infolgedessen den Stecker für FaceTime-Gruppenchats vollständig gezogen hat, bevor das Problem in einem nachfolgenden iOS-Update behoben wurde.

Im Gegensatz zum Fehler von FaceTime ist das Ausnutzen des Fehlers kein Kinderspiel. Der Anrufer müsste die Erlaubnis haben, eine bestimmte Person anzurufen. Genau genommen müssten der Angreifer und das Opfer Freunde auf Facebook sein, um dies zu ermöglichen.

Und außerdem? Der Angriff muss auch bedeuten, dass der Angreifer Reverse Engineering-Tools wie Frida verwendet, um seine eigene Messenger-App anzuweisen, die benutzerdefinierte Nachricht „SdpUpdate“ zwangsweise zu senden.

Facebook gewährte Silvanovach eine Bug-Prämie in Höhe von 60.000 US-Dollar für die Meldung des Problems an das Unternehmen – eine der drei höchsten Bug-Bounties von Facebook bis heute.