Es soll die dritthöchste Summe sein, die Facebook jemals für das Finden einer Sicherheitslücke ausgezahlt hat. Mit 60.000 Dollar wurde ein Bug prämiert, der kürzlich von Facebook im Messenger behoben wurde. Die Finderin, Natalie Silvanovich, spendet die Summe an eine gemeinnützige Organisation.
Facebook generously awarded a bounty of $60,000 for this bug, which I’m donating to the @GiveWell Maximum Impact Fund https://t.co/JvZt9Fw4nx
— Natalie Silvanovich (@natashenka) November 19, 2020
Bug-Finderin spendet komplette Summe
Silvanovich ist in der Szene keine Unbekannte und gehört zum Google Project Zero, das hauptsächlich aus Sicherheitsexperten besteht und sich auf solche Lücken spezialisiert hat. Wie aus dem nun veröffentlichten Bericht zum Fehler hervorgeht, war es kein Bug von Facebook selbst, sondern im WebRTC-Protokoll, auf dem der Messenger für Sprachverbindungen aufbaut.
Facebook Messenger richtet Audio- und Videoanrufe im WebRTC ein, indem er eine Reihe von Sparsamkeitsnachrichten zwischen dem Angerufenen und dem Anrufer austauscht. Normalerweise überträgt der Angerufene erst dann Audio, wenn der Benutzer der Annahme des Anrufs zugestimmt hat. Dies wird entweder dadurch realisiert, dass setLocalDescription erst dann aufgerufen wird, wenn der Angerufene auf den Annehmen-Button geklickt hat, oder indem die Audio- und Video-Medienbeschreibungen im lokalen SDP auf inaktiv gesetzt und aktualisiert werden, wenn der Benutzer auf den Button klickt (welche Strategie verwendet wird, hängt davon ab, an wie vielen Endpunkten der Angerufene bei Facebook angemeldet ist). Es gibt jedoch einen Nachrichtentyp, der nicht für den Verbindungsaufbau verwendet wird, SdpUpdate, der bewirkt, dass setLocalDescription sofort aufgerufen wird. Wenn diese Nachricht an das Gerät des Angerufenen gesendet wird, während es klingelt, veranlasst sie dieses, sofort mit der Audioübertragung zu beginnen, was es einem Angreifer ermöglichen könnte, die Umgebung des Angerufenen zu überwachen.
Bestimmte sogenannte SDP-Nachrichten (Session Description Protocoll) hätten automatisch WebRTC-Verbindungen genehmigt, ohne das Einverständnis des Nutzers einzuholen. Wird eine Nachricht des Typs SpdUpdate an den Angerufenen verschickt während es klingelt, werde der Anruf sofort angenommen, ohne dass der Empfänger tatsächlich etwas davon weiß. Im Bericht gibt Silvanovich sogar eine Schritt-für-Schritt-Anleitung, wie das Verhalten reproduziert werden kann.
Facebook Messenger: Update unterwegs
Die Schwachstelle ist für Hacker und Tunichtgute also schnell auszunutzen, umso besser, dass sie umgehend behoben wird. Auch die Summe sollte zeigen, dass es kein unwichtiger Bug gewesen ist. Silvanovich habe das Unternehmen im letzten Monat darüber informiert. Facebook verteilt daher gerade Updates im App Store und im Google Play Store.
[appbox appstore 454638411]
[appbox googleplay com.facebook.orca]
(via)
[sd_posts template=“templates/teaser-loop.php“ posts_per_page=“5″ taxonomy=“post_tag“ tax_term=“facebook“ order=“desc“]
Folge jetzt unserem Newsletter-Kanal bei WhatsApp. Info: *provisionierte Affiliate-Links.