Facebook vừa vá một lỗ hổng nghiêm trọng trong ứng dụng Messenger phiên bản Android, có khả năng bị tin tặc lợi dụng tấn công thiết bị, nghe lén âm thanh phía đầu dây bên kia dù nạn nhân không nhân cuộc gọi.
Lỗ hổng ảnh hưởng đến những phiên bản 284.0.0.16.119 (và trước đó) của ứng dụng Facebook Messenger cho Android. Natalie Silvanovich thuộc nhóm săn lỗi Project Zero của Google là người đã phát hiện ra lỗi, báo cáo cho Facebook vào ngày 6/10 và công ty có thời hạn 90 ngày để khắc phục.
Lỗ hổng bảo mật này có thể bị tin tặc khai thác để đăng nhập vào ứng dụng Facebook Messenger, đồng thời thực hiện cuộc gọi và gửi một loại tin nhắn đặc biệt tới nạn nhân đã đăng nhập vào cả ứng dụng Messenger chuyện dụng và những phiên bản ứng dụng khách (client) khác như trên trình duyệt web. Sau đó, hệ thống sẽ phát sinh tình huống như sau: tin tặc thực hiện cuộc gọi thoại đến một đối tượng bất kỳ và dù người nhận không bắt máy hoặc đã dập máy thì bên người gọi vẫn có thể nghe được âm thanh xung quanh người nhận. Sự cố này khiến việc nghe lén trở nên dễ dàng hơn.
Theo Silvanovich, lỗ hổng nằm trong Giao thức mô tả phiên (SDP) của WebRTC. Đây là định dạng chuẩn hóa việc trao đổi phương tiện truyền trực tuyến giữa hai điểm cuối. Kẻ tấn công chỉ cần gửi một loại tin nhắn đặc biệt được gọi là “SdpUpdate” khiến cuộc gọi được kết nối với thiết bị của người nhận trước khi người nhận nhấn nút trả lời.
Thông thường, cuộc gọi âm thanh và cuộc gọi video qua WebRTC sẽ không truyền âm thanh cho đến khi người nhận nhấp vào nút chấp nhận. Nhưng nếu thông báo “SdpUpdate” được gửi đến thiết bị đầu cuối bên kia khi đang đổ chuông, hệ thống sẽ bắt đầu truyền âm thanh ngay lập tức, cho phép kẻ tấn công nghe lén được âm thanh phía nạn nhân.
The The Hacker News, lỗi này tương tự một lỗ hổng bảo mật từng được báo cáo trong tính năng trò chuyện nhóm FaceTime của Apple năm ngoái. Trong đó những kẻ tấn công có thể thực hiện cuộc gọi video FaceTime và nghe trộm âm thanh phía đối tượng bằng cách thêm họ là người thứ ba trong cuộc trò chuyện nhóm ngay cả trước khi người ở đầu dây bên kia chấp nhận cuộc gọi đến.
Sự cố này nghiêm trọng đến mức Apple đã tạm dừng tính năng gọi trong các cuộc trò chuyện nhóm FaceTime trước khi khắc phục lỗi trong bản cập nhật iOS tiếp theo.
Tuy nhiên việc khai thác lỗ hổng trong Facebook Messenger lại khó hơn so với FaceTime. Người gọi phải có quyền gọi cho nạn nhân, nghĩa là người gọi và người nhận phải là bạn bè của nhau trên Facebook. Ngoài ra, để có thể nghe lén một ai đó, kẻ tấn công cần biết cách sử dụng các công cụ thiết kế ngược (reverse engineering tool) như Frida để thao tác ứng dụng Messenger và gửi thông báo “SdpUpdate” được tùy chỉnh.
Silvanovich đã được thưởng 60.000 USD tiền thưởng khi báo cáo lỗ hổng trên. Đây là một trong ba phần thưởng lỗi cao nhất của Facebook cho đến nay. Silvanovich cho biết cô đã quyên góp toàn bộ tiền thưởng cho tổ chức phi lợi nhuận GiveWell.
Đây không phải là lần đầu tiên Silvanovich phát hiện ra những lỗ hổng nghiêm trọng trong các ứng dụng nhắn tin đa phương tiện. Trước đó cô từng báo cáo nhiều lỗi của WhatApp, iMessage, WeChat, Signal và Reliance JioChat.