Facebook telah memperbaiki bug keamanan di aplikasi Messenger untuk Android yang memungkinkan penyerang melakukan dan menghubungkan panggilan audio Messenger tanpa sepengetahuan atau interaksi pengguna.
Kerentanan itu, yang bisa saja disalahgunakan untuk memata-matai pengguna Facebook melalui ponsel Android mereka, ditemukan selama audit keamanan oleh Natalie Silvanovich, seorang peneliti yang bekerja untuk tim keamanan Project Zero Google.
Dalam laporan bug yang dipublikasikan, Silvanovich mengatakan bug tersebut berada di protokol WebRTC yang digunakan aplikasi Messenger untuk mendukung panggilan audio dan video.
Lebih khusus lagi, Silvanovich mengatakan bahwa masalahnya berada di Session Description Protocol (SDP), bagian dari WebRTC. Protokol ini menangani data sesi untuk koneksi WebRTC, dan Silvanovich menemukan bahwa pesan SDP dapat disalahgunakan untuk menyetujui koneksi WebRTC secara otomatis tanpa interaksi pengguna.
“Ada jenis pesan yang tidak digunakan untuk pengaturan panggilan, SdpUpdate,” Silvanovich menjelaskan. “Jika pesan ini dikirim ke perangkat pengguna saat berdering, itu akan memicu untuk segera mulai mentransmisikan audio, yang bisa memungkinkan penyerang untuk memantau panggilan.”
Untuk mengeksploitasi kerentanan ini hanya membutuhkan waktu beberapa detik, menurut Silvanovich.
Baca Juga: “Facebook Messenger Windows Bisa Digunakan Untuk Persistensi Malware“
Peneliti Google tersebut melaporkan masalah ini ke Facebook bulan lalu, dan raksasa media sosial itu memperbaikinya melalui pembaruan server-side untuk layanan Messenger-nya.
Dalam sebuah tweet, Silvanovich mengatakan Facebook memberinya bounty $60.000 atas laporan masalah tersebut, dan peneliti memilih untuk menyumbangkannya ke GiveWell, sebuah organisasi nirlaba yang mengoordinasikan kegiatan amal.
Facebook generously awarded a bounty of $60,000 for this bug, which I’m donating to the @GiveWell Maximum Impact Fund https://t.co/JvZt9Fw4nx
— Natalie Silvanovich (@natashenka) November 19, 2020
“Laporan ini adalah salah satu dari tiga bug bounty tertinggi kami dengan $60.000, yang mencerminkan potensi dampak maksimumnya,” kata Facebook, yang juga memberikan sumbangan yang sama untuk GiveWell.
