Facebook hat eine kritische Sicherheitslücke in der Android-Version seiner Messenger-App geschlossen. Angreifer waren in der Lage, ohne Wissen des Angerufen – und ohne Interaktion mit ihm – Anrufe zu starten und Sprachverbindungen herzustellen.
Auslöser war das Session Description Protocol (SDP), das zu WebRTC gehört und Sitzungsdaten für WebRTC-Sitzungen verarbeitet. Silvanovich fand heraus, dass bestimmte SDP-Nachrichten automatisch WebRTC-Verbindungen genehmigten, ohne vorher eine Zustimmung des Nutzers einzuholen.
„Es gibt einen Nachrichtentyp, der nicht für den Aufbau von Anrufen benutzt wird, SpdUpdate“, erläuterte die Google-Forscherin. „Falls diese Nachricht an einen Angerufenen geschickt wird, während es klingelt, startet sie sofort die Audioübertragung, wodurch ein Angreifer die Umgebung des Angerufenen überwachen kann.“
Ihr zufolge lässt sich die Schwachstelle innerhalb weniger Sekunden ausnutzen. Facebook informierte sie demnach im vergangenen Monat über das Problem. Ein Update für die Android-Version seiner Messenger-App veröffentlichte Facebook gestern. Betroffene Nutzer sollten im Play Store nach einem Update Ausschau halten und es zeitnah installieren.
Facebook zahlte der Forscherin eine Belohnung von 60.000 Dollar, nach Angaben des Unternehmens die dritthöchste Prämie, die es bisher ausschüttete. Per Twitter bestätigte Silvanovich den Erhalt. Sie kündigte an, das Geld der Organisation GiveWell zu spenden, die wiederum karitative Einrichtungen unterstützt.
Silvanovich gilt als Expertin für Messaging-Apps. Ähnliche Bugs entdeckte sie bereits in WhatsApp für Android und iOS sowie mehrmals in der iMessage-App von iOS.
Carsten Maceus, Systems Engineer bei Fortinet, erläutert in diesem Webinar, wie eine moderne IT-Sicherheitsarchitektur in Unternehmen aussehen sollte. Er illustriert dies am Beispiel eines Fußballstadions wo Bengalos, Flitzer, Ordner und Zuschauer agieren. Spannend.
Erstmals liegen Preise für Verbraucher vor. Sie zahlen weniger als Geschäftskunden. Dafür beschränkt Microsoft den…
Die Entwickler arbeiten noch an weiteren „Verfeinerungen“. Windows Insider erhalten nun wohl eine erste Vorschau…
Laut Bitkom-Umfrage werden in jedem dritten Unternehmen in Deutschland private KI-Zugänge genutzt. Tendenz steigend.
2023 erlitten neun von zehn Unternehmen in der DACH-Region Umsatzverluste und Kurseinbrüche in Folge von…
Der Report „Pacific Rim“ von Sophos beschreibt Katz-und-Maus-Spiel aus Angriffs- und Verteidigungsoperationen mit staatlich unterstützten…
NVIDIA DGX SuperPOD soll voraussichtlich Mitte 2025 in Betrieb genommen und für Forschungsberechnungen genutzt werden.