Sicherheitslücke: Facebook-Messenger erlaubt Belauschen von Nutzern

Ein Fehler im Facebook Messenger unter Android ermöglichte es, einen Sprachanruf aufzubauen, ohne dass der Empfänger diesen annehmen muss.

Artikel veröffentlicht am ,
Wer da wohl alles am anderen Ende lauscht?
Wer da wohl alles am anderen Ende lauscht? (Bild: Stefan Kuhn/Pixabay)

Durch eine Sicherheitslücke in der Android-Version des Facebook Messengers ist es möglich gewesen, Betroffene unbemerkt anzurufen und sie auf diese Weise abzuhören. Entdeckt hat die Lücke Natalie Silvanovich, die als Sicherheitsforscherin bei Googles Project Zero arbeitet. Facebook behob den Fehler mit einem Update und will ein Bug Bounty auszahlen.

Stellenmarkt
  1. IT Support Mitarbeiter (m/w/d) im 2nd/3rd Level
    igus GmbH, Köln
  2. Entwicklungsingenieur:in (m/w/d) - Fahrerassistenzsysteme / Autonomes Fahren
    IAV GmbH, Heimsheim
Detailsuche

Die Sicherheitslücke liegt in der Implementierung von WebRTC. Wird eine WebRTC-Verbindung aufgebaut, kann der Anruf mittels einer SDP-Nachricht (Session Description Protocol) ohne Interaktion des Gegenübers zu beginnen: "Es gibt einen Nachrichtentyp, der nicht für den Verbindungsaufbau, verwendet wird", schreibt Silvanovich. "Wenn diese Nachricht an das Gerät des Angerufenen gesendet wird, während es klingelt, veranlasst sie dieses dazu, sofort mit der Audioübertragung zu beginnen, was einem Angreifer ermöglichen könnte, die Umgebung des Angerufenen zu überwachen."

Damit der Angriff sicher funktioniere, müsse zum einen die Berechtigung bestehen, die angegriffene Person beispielsweise durch eine Facebook-Freundschaft via Messenger anzurufen, zum anderen müsse diese sowohl im Messenger als auch in einem Browser bei Facebook angemeldet sein, schreibt Facebook. Das Problem wurde mit der aktuellen Version des Facebook Messengers behoben.

Hacking & Security: Das umfassende Handbuch. 2. aktualisierte Auflage des IT-Standardwerks (Deutsch) Gebundene Ausgabe

Die Sicherheitsforscherin erhält eine Summe von 60.000 US-Dollar, die zu einem der drei höchsten von Facebook bisher ausgerufenen Bug Bounties zählt. SilvanovichSie kündigte an, dass Geld an die Wohltätigkeitsorganisation Givewell zu spenden. Es ist nicht das erste Mal, dass sie schwerwiegende Sicherheitslücken entdeckt, darunter Whatsapp, Signal, iMessage und Facetime von Apple.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
Telemetrie
Voyager 1 weiß wohl nicht, wo sie ist

Seit 1977 befindet sich die Raumsonde Voyager 1 auf ihrer Reise durchs All. Die neusten Daten scheinen einen falschen Standort anzuzeigen.

Telemetrie: Voyager 1 weiß wohl nicht, wo sie ist
Artikel
  1. Übernahme: Broadcom verhandelt Kauf von VMware
    Übernahme
    Broadcom verhandelt Kauf von VMware

    Eine Übernahme von VMware hätte mindestens ein Volumen von 40 Milliarden US-Dollar. Dell will die Beteiligung verkaufen.

  2. Halbleiterfertigung: Joe Biden bekommt erste 3-nm-Chips gezeigt
    Halbleiterfertigung
    Joe Biden bekommt erste 3-nm-Chips gezeigt

    Bei einem Amtsbesuch in Südkorea hat US-Präsident Joe Biden auch eine Fab von Samsung Foundry besucht und die neue 3-nm-Technik gelobt.

  3. Kubernetes-Kontrollcenter: Mit YTT-Templates Kubernetes-Cluster besser verwalten
    Kubernetes-Kontrollcenter
    Mit YTT-Templates Kubernetes-Cluster besser verwalten

    Wir zeigen, wie man mit zentraler und automatisierter YAML-Generierung Hunderte Microservices spielend verwalten kann.
    Eine Anleitung von Jochen R. Meyer

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • MindStar (u. a. AMD Ryzen 9 5950X 488€, MSI RTX 3090 Gaming X Trio 1.799€) • Cyber Week: Jetzt alle Deals freigeschaltet • LG OLED TV 77" 62% günstiger: 1.749€ • Bis zu 35% auf MSI • Alternate (u. a. AKRacing Core EX SE Gaming-Stuhl 169€) [Werbung]
    •  /