PT. Digital Media Techindo

Perum Pondok Tandala, Jl. Bungur V No. 230
Kawalu, Kota Tasikmalaya
Jawa Barat - Indonesia 46182




Kebanyakan orang sangat benci ketika harus mengetik pesan yang panjang saat chatingan. Namun berkat fitur voice recording membuat lebih mudah bagi user untuk mengirim pesan panjang tersebut. Namun ternyata voice recording bisa disadap oleh para hacker.

voice recording bisa disadap

Dan jika kamu terbiasa menggunakan fitur tersebut dalam Facebook Messenger, kamu rentan terhadap serangan man-in-the-middle (MITM) sederhana. Yang mana serangan ini bisa membocorkan klip audio pribadi kamu ke pihak penyerang.

Terlebih lagi, masalah ini ternyata sampai artikel ini dipublish, belum di antisipasi dari pihak raksasa sosmed Facebook.

Berikut Bagaimana Cara Voice Recording Bisa Disadap:


Setiap kali kamu mengirim klip audio, klip akan diupload ke CDN server Facebook (https: //z-1-cdn.fbsbx.com/…….). Dan setiap penyerang berada dalam jaringan yang sama dengan kamu, meluncurkan MITM dengan SSL Strip ternyata dapat mengekstrak link absolut. Termasuk otentikasi token rahasia yang tertanam dalam URL. Tentu juga, hal tersebut berlaku pada semua file audio yang dipertukarkan antara pengirim dan penerima selama proses penyerangan.

Kemudian, penyerang akan mendowngrade link tersebut dari HTTPS ke HTTP. Yang memungkinkan penyerang untuk mendownload secara langsung file-file audio tanpa otentikasi apapun.

Lalu, Bagian Apa Yang Salah?

Hal ini karena server CDN Facebook tidak menentukan dengan ketat kebijakan HTTP Strict Transport Security (HSTS). Yang mana HSTS ini bisa mengarahkan browser atau agen pengguna untuk berkomunikasi dengan server hanya melalui koneksi HTTPS. Dan membantu website untuk melindungi terhadap serangan downgrade protokol.

Kedua, karena kurangnya otentikasi yang tepat. Jika file telah dibagi antara dua pengguna Facebook, harusnya itu tidak bisa diakses oleh siapa pun kecuali mereka. Yang bahkan jika seseorang memiliki URL absolut ke file mereka, yang juga termasuk tanda rahasia untuk mengakses file tersebut.

Video Demonstrasi Proof-of-Concept:


Just a simple person who like photography, videography, code, and cyber security enthusiast.