مسنجر تتيح ثغرة أمنية داخل تطبيق لتجسس على المستخدمين

قام Facebook بإصلاح ثغرة أمنية داخل تطبيق منصة المسافر للروبوت ، مما سمح للمهاجمين بالتجسس على المستخدمين دون معلوماتهم.

تم وضع تطبيق منصة المسافر للروبوت على أكثر من مليار جهاز روبوت ، بما يتماشى مع الصفحة الرسمية للجهاز على فترات زمنية في متجر Google Play.

تم اكتشاف الثغرة الأمنية بواسطة ناتالي سيلفانوفيتش ، وهي باحثة أمنية مع فريق أمان Project Zero التابع لشركة Google.

قال المحقق: توجد ثغرة في الطريقة التي يتم بها تطبيق بروتوكول WebRTC ، والتي يستخدمها تطبيق منصة المسافر لإنشاء مكالمات صوتية ومرئية.

تكمن المشكلة في أن بروتوكول SDP ، وهو أحد عناصر بروتوكول WebRTC ، وكذلك بروتوكول SDP يعالج معرفة الجلسة لاتصالات WebRTC.

وجد Silvanovic أن رسالة Associate in Nursing SDP للموافقة التلقائية على اتصالات WebRTC ستكون ضحية أثناء عدم تدخل المستخدم.

فيسبوك يطلق خيارات جديدة للرسائل الإلكترونية في المسافر و Instagram ، تعرف عليها!

يستغرق الأمر بضع ثوانٍ لاستخدام الخلل ، وفقًا لتقرير خطأ Silvanovic ، ومع ذلك ، يجب أن يكون لدى المهاجم أذونات - أي أن يكون من بين أصدقاء المستخدم على Facebook - للاتصال بالشخص على الطرف المقابل.

أبلغ المحقق فيسبوك عن الأمر الشهر الماضي ، وبالتالي قامت وسائل التواصل الاجتماعي بتصحيح الأمر بتحديث من جانب الخادم للمسافر.

وقالت سيلفانوفيتش في رسالة على موقع تويتر: فيسبوك منحها ستين ألف دولار مكافأة لقاء هذا الأمر.

قام رجل العلوم من Google النخبة بتقديم المكافأة إلى منظمة GiveWell غير الربحية التي تنسق الأنشطة الخيرية.

Facebook ، الذي أنشأ بالإضافة إلى ذلك تبرعًا بقيمة ستين ألف دولار من تلقاء نفسه إلى GiveWell ، قال: إن جائزة Silvanovic هي إحدى جوائزنا الثلاث الكبرى التي حصلنا عليها على الإطلاق والتي تبلغ ستين ألف دولار ، وتعكس تأثيرها المحتمل.

في السنوات السابقة ، وجدت سيلفانوفيتش أيضًا وأبلغت عن مشكلات مماثلة مع تطبيقات مختلفة تمامًا للاتصال الإلكتروني الفوري ، وهذا هو مجال خبرتها.

في الشهر التقويمي الشمسي 2018 ، اكتشفت خللًا بين تطبيق WhatsApp لـ automaton و iOS والذي قد يسمح للمهاجمين برغبة إدارة التطبيق بمجرد أن يطلع المستخدم على مكالمة فيديو.