Sicherheitslücke: Facebook-Messenger erlaubt Belauschen von Nutzern

Ein Fehler im Facebook Messenger unter Android ermöglichte es, einen Sprachanruf aufzubauen, ohne dass der Empfänger diesen annehmen muss.

Artikel veröffentlicht am ,
Wer da wohl alles am anderen Ende lauscht?
Wer da wohl alles am anderen Ende lauscht? (Bild: Stefan Kuhn/Pixabay)

Durch eine Sicherheitslücke in der Android-Version des Facebook Messengers ist es möglich gewesen, Betroffene unbemerkt anzurufen und sie auf diese Weise abzuhören. Entdeckt hat die Lücke Natalie Silvanovich, die als Sicherheitsforscherin bei Googles Project Zero arbeitet. Facebook behob den Fehler mit einem Update und will ein Bug Bounty auszahlen.

Stellenmarkt
  1. Mitarbeiter*in (m/w/d) für das Prozessmanagement
    Universität Bielefeld, Bielefeld
  2. IT Business Partner (m/f/d)
    DS Smith Paper Deutschland GmbH, Aschaffenburg (Home-Office)
Detailsuche

Die Sicherheitslücke liegt in der Implementierung von WebRTC. Wird eine WebRTC-Verbindung aufgebaut, kann der Anruf mittels einer SDP-Nachricht (Session Description Protocol) ohne Interaktion des Gegenübers zu beginnen: "Es gibt einen Nachrichtentyp, der nicht für den Verbindungsaufbau, verwendet wird", schreibt Silvanovich. "Wenn diese Nachricht an das Gerät des Angerufenen gesendet wird, während es klingelt, veranlasst sie dieses dazu, sofort mit der Audioübertragung zu beginnen, was einem Angreifer ermöglichen könnte, die Umgebung des Angerufenen zu überwachen."

Damit der Angriff sicher funktioniere, müsse zum einen die Berechtigung bestehen, die angegriffene Person beispielsweise durch eine Facebook-Freundschaft via Messenger anzurufen, zum anderen müsse diese sowohl im Messenger als auch in einem Browser bei Facebook angemeldet sein, schreibt Facebook. Das Problem wurde mit der aktuellen Version des Facebook Messengers behoben.

Hacking & Security: Das umfassende Handbuch. 2. aktualisierte Auflage des IT-Standardwerks (Deutsch) Gebundene Ausgabe

Die Sicherheitsforscherin erhält eine Summe von 60.000 US-Dollar, die zu einem der drei höchsten von Facebook bisher ausgerufenen Bug Bounties zählt. SilvanovichSie kündigte an, dass Geld an die Wohltätigkeitsorganisation Givewell zu spenden. Es ist nicht das erste Mal, dass sie schwerwiegende Sicherheitslücken entdeckt, darunter Whatsapp, Signal, iMessage und Facetime von Apple.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
Intel NUC 11 im Test
Mit dem Tiger ins Homeoffice

Die modularen Mini-PCs von Intel sind kompakt und leistungsfähig, die NUCs verfügen zudem über viele Anschlüsse. Wir haben zwei neue NUC 11 getestet.
Ein Test von Mike Wobker

Intel NUC 11 im Test: Mit dem Tiger ins Homeoffice
Artikel
  1. Tesla Model Y als Taxi: Elektrischer Taxidienst Revel scheitert in New York
    Tesla Model Y als Taxi
    Elektrischer Taxidienst Revel scheitert in New York

    Weil eine Behörde eine Ausnahmeregelung für Elektroautos kassiert hat, kann ein Startup keine Tesla-Taxis in New York betreiben.

  2. App: Betrüger nutzen Lidl Pay aus
    App
    Betrüger nutzen Lidl Pay aus

    Mit Lidl Pay kann man einfach per App zahlen - offenbar werden die angegebenen Kontodaten für das Lastschriftverfahren aber nicht ausreichend geprüft.

  3. Google: Sicherheitspatch macht ältere Youtube-Videos unerreichbar
    Google
    Sicherheitspatch macht ältere Youtube-Videos unerreichbar

    Google wird ältere ungelistete Youtube-Videos mit aktuellem Link Sharing ausstatten. Links werden ungültig. Inhaltsersteller können handeln.

ElMario 20. Nov 2020

...es sind genau diese feinen, kleinen Details, die Handyortung und belauschen in Zukunft...


Folgen Sie uns
       


  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Schnäppchen • Mega-Wiedereröffnung bei MediaMarkt - bis zu 30 Prozent Rabatt • Gigabyte M27Q 27" WQHD 170Hz 338,39€ • Dualsense Midnight Black + Ratchet & Clank Rift Apart 99,99€ • Samsung SSD 980 Pro PCIe 4.0 1TB 166,59€ • 6 Blu-rays für 30€ [Werbung]
    •  /