Lỗi nghiêm trọng trên Facebook Messenger nền tảng Android

The The Hacker News đưa tin, ứng dụng Facebook Messenger trên nền tảng Android đã tồn tại một lỗi bảo mật nghiêm trọng, có khả năng bị tin tặc lợi dụng tấn công thiết bị, nghe lén âm thanh phía đầu dây bên kia dù nạn nhân không nhân cuộc gọi.

Lỗ hổng này có trên phiên bản 284.0.0.16.119 của ứng dụng Facebook Messenger cho Android. Natalie Silvanovich thuộc nhóm săn lỗi Project Zero của Google là người đã phát hiện ra lỗ hổng.

Lỗ hổng này có trên phiên bản 284.0.0.16.119 của ứng dụng Facebook Messenger cho Android. Natalie Silvanovich thuộc nhóm săn lỗi Project Zero của Google là người đã phát hiện ra lỗ hổng.

Theo Silvanovich, lỗ hổng nằm trong Giao thức mô tả phiên (SDP) của WebRTC. Đây là định dạng chuẩn hóa việc trao đổi phương tiện truyền trực tuyến giữa hai điểm cuối.

Kẻ tấn công có thể khai thác lỗ hổng bằng cách gửi một loại thông báo đặc biệt, được gọi là SdpUpdate. Nó sẽ khiến cuộc gọi kết nối với thiết bị của nạn nhân trước khi họ trả lời. Việc khai thác lỗ hổng chỉ mất vài giây.

“Nếu thông báo này được gửi đến thiết bị của nạn nhân trong khi đang đổ chuông, nó sẽ giúp hacker nghe được âm thanh xung quanh ngay lập tức giống như người ở đầu dây bên kia đã nhấc máy. Và việc nghe lén trở nên dễ dàng hơn bao giờ hết”, Natalie Silvanovich cho biết.

Natalie Silvanovich đã báo cáo cho Facebook vào ngày 6/10 và công ty có thời hạn 90 ngày để khắc phục.

Về phía Facebook, công ty đã ghi nhận lỗi và đưa ra lời cảnh báo rằng, tin tặc có thể lợi dụng lỗ hổng này để tấn công những người có trong danh sách bạn bè của nạn nhân.

Sau khi sửa lỗi, các nhà nghiên cứu bảo mật của Facebook đã áp dụng các biện pháp bảo vệ bổ sung trên các ứng dụng khác, sử dụng cùng một giao thức cho cuộc gọi 1:1.

Silvanovich đã được thưởng 60.000 USD tiền thưởng khi báo cáo lỗ hổng trên. Đây là một trong ba phần thưởng săn lỗi cao nhất của Facebook cho đến nay. Silvanovich cho biết cô đã quyên góp toàn bộ tiền thưởng cho tổ chức phi lợi nhuận GiveWell.

Đây không phải là lần đầu tiên Silvanovich phát hiện ra những lỗ hổng nghiêm trọng trong các ứng dụng nhắn tin đa phương tiện. Trước đó cô từng báo cáo nhiều lỗi của WhatApp, iMessage, WeChat, Signal và Reliance JioChat.

Nhà nghiên cứu bảo mật Natalie Silvanovich đã phát hiện ra lỗ hổng nghiêm trọng trên Messenger. 

Theo tìm hiểu, được biết, bắt đầu từ phiên bản iOS 14, Apple đã tập trung cải thiện các vấn đề liên quan đến quyền riêng tư, cho phép người dùng biết bị được khi nào camera hoặc micro trên điện thoại đang được sử dụng (thông qua các chấm màu cam hoặc xanh lá ở góc phải màn hình).

Tuy nhiên, các thiết bị Android thì không có sẵn tính năng này, do đó bạn cần phải cài đặt thêm ứng dụng Access Dots. Khi hoàn tất, ứng dụng sẽ hiển thị một chấm tròn màu xanh lá hoặc màu cam (bạn có thể thay đổi màu sắc tùy ý) ở góc trên bên phải màn hình mỗi khi có ứng dụng nào đó sử dụng micro hoặc camera.

Access Dots cho phép bạn biết được khi nào micro hoặc camera đang được sử dụng.

Để lấy lại quyền truy cập micro của một ứng dụng nào đó, bạn hãy truy cập vào Settings (cài đặt) - Apps (ứng dụng) - App Permissions (quyền ứng dụng) - Micro, sau đó chọn các ứng dụng cần thu hồi quyền truy cập. Ví dụ, các ứng dụng chỉnh sửa hình ảnh, game, thư viện… không nhất thiết phải sử dụng đến micro.

Cách thu hồi quyền sử dụng micro trên các thiết bị Android. 

Nếu muốn thu hồi quyền sử dụng camera, người dùng chỉ cần thực hiện tương tự. Lưu ý, tên và vị trí các tùy chọn có thể thay đổi tùy vào thiết bị bạn đang sử dụng. 

Thanh Tùng (T/h)