منصة مسنجر تتيح التجسس على المستخدمين
أصحلت شركة فيسبوك ثغرة أمنية في تطبيق منصة مسنجر لنظام أندرويد، بحيث كانت هذه الثغرة تتيح للمهاجمين التجسس على المستخدمين دون علمهم.
وتم تثبيت تطبيق منصة مسنجر لنظام أندرويد عبر أكثر من مليار جهاز أندرويد، وذلك وفقًا للصفحة الرسمية للتطبيق ضمن متجر جوجل بلاي.
واكتشفت (ناتالي سيلفانوفيتش) Natalie Silvanovich، الباحثة الأمنية في فريق أمان Project Zero التابع لشركة جوجل، الثغرة الأمنية.
وقالت الباحثة: إن الثغرة موجودة في طريقة تطبيق بروتوكول WebRTC الذي يستخدمه تطبيق منصة مسنجر لإجراء المكالمات الصوتية والمرئية.
وتكمن المشكلة في بروتوكول SDP، وهو جزء من بروتوكول WebRTC، ويعالج بروتوكول SDP بيانات الجلسة لاتصالات بروتوكول WebRTC.
واكتشفت سيلفانوفيتش أنه يمكن إساءة استخدام رسالة بروتوكول SDP للموافقة التلقائية على اتصالات بروتوكول WebRTC دون تدخل المستخدم.
فيسبوك تطلق ميزات جديدة للتراسل في مسنجر وإنستاجرام، تعرّف عليها!
ويستغرق استغلال الخلل بضع ثوان، وذلك وفقًا لتقرير خطأ سيلفانوفيتش، ومع ذلك، يجب أن يكون لدى المهاجم أذونات – أي أن يكون من ضمن أصدقاء المستخدم عبر فيسبوك – للاتصال بالشخص على الطرف الآخر.
وأبلغت الباحثة فيسبوك عن المشكلة الشهرَ الماضي، وصححتها عملاقة التواصل الاجتماعي عبر تحديث من جانب الخادم لمنصة مسنجر.
وفي رسالة عبر منصة تويتر، قالت سيلفانوفيتش: إن شركة فيسبوك منحتها 60 ألف دولار مكافأةً للإبلاغ عن المشكلة.
واختارت الباحثة في جوجل التبرع بقيمة المكافأة إلى منظمة GiveWell غير الربحية التي تنسق الأنشطة الخيرية.
وقالت فيسبوك، التي قدمت أيضًا تبرعًا خاصًا بها بقيمة 60 ألف دولار إلى GiveWell: جائزة سيلفانوفيتش هي واحدة من أعلى الجوائز الثلاث لدينا على الإطلاق التي هي بقيمة 60 ألف دولار ، مما يعكس أقصى تأثير محتمل.
وفي السنوات السابقة، وجدت سيلفانوفيتش أيضًا مشكلات مماثلة في تطبيقات المراسلة الفورية الأخرى وأبلغت عنها، وهو أحد مجالات خبرتها.
وفي شهر أكتوبر 2018، اكتشفت خطأ في تطبيق واتساب لنظامي أندرويد و iOS كان من شأنه أن يسمح للمهاجمين بالسيطرة على التطبيق بعد أن يرد المستخدم على مكالمة مرئية.
وفي شهر يوليو 2019، وجدت الباحثة أربعة أخطاء غير تفاعلية في تطبيق iMessage، واكتشفت في الشهر نفسه خطأ خامسًا في iMessage كان من الممكن استخدامه لتخريب أجهزة آيفون.
Facebook generously awarded a bounty of $60,000 for this bug, which I’m donating to the @GiveWell Maximum Impact Fund https://t.co/JvZt9Fw4nx
— Natalie Silvanovich (@natashenka) November 19, 2020
