أصلح Facebook عيباً فادحاً في تطبيق المراسلة فيسبوك ماسنجر Messenger لنظام أندرويد، والذي يسمح للمتصلين بالاستماع إلى محيط المستخدمين الآخرين المتصل بهم من دون إذن، أي قبل أن يقوم الشخص على الطرف الآخر بالتقاط المكالمة.
تجدر الإشارة إلى أنه تم تثبيت Facebook Messenger لنظام Android على أكثر من مليار جهاز حول العالم، وفقاً لصفحة Play Store الرسمية للتطبيق، مما يشكل تجاوزاً أمنياً فاضحاً للعديد من المستخدمين حول العالم.
وكان بإمكان المهاجمين استغلال هذا الخطأ عن طريق إرسال نوع خاص من الرسائل يُعرف باسم SdpUpdate والذي قد يتسبب في اتصال المكالمة بجهاز المتلقي قبل أن يرد عليها.
تم اكتشاف الثغرة الأمنية من قبل الباحثة في مشروع Google Project Zero ناتالي سيلفانوفيتش، والتي أوضحت أنه عادةً لا يجب أن ينقل جهاز المتلقي الصوت حتى يوافق المستخدم على قبول المكالمة، والتي يتم تنفيذها إما عن طريق عدم استدعاء setLocalDescription حتى ينقر الطرف الآخر على زر القبول، أو عبر تعيين أوصاف وسائط الصوت والفيديو في SDP المحلي إلى غير نشط وتحديثها عندما ينقر المتلقي على الزر. ولكن الثغرة تسببت في بدء نقل الصوت على الفور قبل أي موافقة، مما قد يسمح للمهاجم بمراقبة محيط الأشخاص الآخرين من دون علمهم.
وبعد إصلاح الخلل الذي أبلغ عنه Project Zero من جانب الخادم، طبق باحثو الأمان في فيسبوك إجراءات حماية إضافية على التطبيقات الأخرى التي تملكها الشركة والتي تستخدم نفس البروتوكول لإجراء مكالمات 1: 1.
60 ألف دولار مقابل عيب فيسبوك ماسنجر
منح فيسبوك الباحثة Silvanovich مكافأة قدرها 60 ألف دولار للعثور على خطأ فيسبوك ماسنجر في نظام Android الشهير والمستخدم على نطاق واسع في كل مناطق الكرة الأرضية.
من جهتها، أكدت باحثة Project Zero ،نها ستتبرع بالمبلغ الكامل لصندوق GiveWell Maximum Impact Fund. وتعتبر هذه المكافأة من بين أعلى ثلاث مكافآت للأخطاء بقيمة 60.000 دولار منحها فيسبوك مسبقاً، مما يشير إلى مدى خطورة العيب.
هذا وانضم أكثر من 50000 باحث إلى برنامج مكافأة الأخطاء على Facebook منذ إطلاقه، وحصل ما يقرب من 6900 منهم على مكافأة بعد تقديم أكثر من 130.000 تقرير عن الثغرات الأمنية منذ عام 2011.
المثير للاهتمام أيضاً، أن هذا العام وحده، يقول فيسبوك إنه تم منح أكثر من 1.98 مليون دولار لباحثين من أكثر من 50 دولة حول العالم قاموا بالإبلاغ عن أكثر من 1000 نقطة ضعف في المنصة.