Categories: SicherheitSicherheitsmanagement

Fehler in Facebook Messenger erlaubt Mithören von Anrufen

Facebook hat eine kritische Sicherheitslücke in der Android-Version seiner Messenger-App geschlossen. Angreifer waren in der Lage, ohne Wissen des Angerufen – und ohne Interaktion mit ihm – Anrufe zu starten und Sprachverbindungen herzustellen.

Entdeckt wurde die Schwachstelle von der Sicherheitsforscherin Natalie Silvanovich vom Google-Sicherheitsteam Project Zero. Sie steckt einem jetzt veröffentlichten Fehlerbericht zufolge im WebRTC-Protokoll, dass Facebook Messenger für Audio- und Videoanrufe nutzt. Unbefugte hätten die Möglichkeit gehabt, beliebige Messenger-Nutzer über ihre Android-Geräte auszuspähen.

Auslöser war das Session Description Protocol (SDP), das zu WebRTC gehört und Sitzungsdaten für WebRTC-Sitzungen verarbeitet. Silvanovich fand heraus, dass bestimmte SDP-Nachrichten automatisch WebRTC-Verbindungen genehmigten, ohne vorher eine Zustimmung des Nutzers einzuholen.

„Es gibt einen Nachrichtentyp, der nicht für den Aufbau von Anrufen benutzt wird, SpdUpdate“, erläuterte die Google-Forscherin. „Falls diese Nachricht an einen Angerufenen geschickt wird, während es klingelt, startet sie sofort die Audioübertragung, wodurch ein Angreifer die Umgebung des Angerufenen überwachen kann.“

Ihr zufolge lässt sich die Schwachstelle innerhalb weniger Sekunden ausnutzen. Facebook informierte sie demnach im vergangenen Monat über das Problem. Ein Update für die Android-Version seiner Messenger-App veröffentlichte Facebook gestern. Betroffene Nutzer sollten im Play Store nach einem Update Ausschau halten und es zeitnah installieren.

Facebook zahlte der Forscherin eine Belohnung von 60.000 Dollar, nach Angaben des Unternehmens die dritthöchste Prämie, die es bisher ausschüttete. Per Twitter bestätigte Silvanovich den Erhalt. Sie kündigte an, das Geld der Organisation GiveWell zu spenden, die wiederum karitative Einrichtungen unterstützt.

Silvanovich gilt als Expertin für Messaging-Apps. Ähnliche Bugs entdeckte sie bereits in WhatsApp für Android und iOS sowie mehrmals in der iMessage-App von iOS.

WEBINAR

Beim Endpunkt-Schutz zählt jede Sekunde: Warum die Entschärfung in Echtzeit entscheidend ist

Carsten Maceus, Systems Engineer bei Fortinet, erläutert in diesem Webinar, wie eine moderne IT-Sicherheitsarchitektur in Unternehmen aussehen sollte. Er illustriert dies am Beispiel eines Fußballstadions wo Bengalos, Flitzer, Ordner und Zuschauer agieren. Spannend.

Jetzt registrieren und Webinar-Aufzeichnung ansehen
Stefan Beiersmann

Stefan unterstützt seit 2006 als Freier Mitarbeiter die ZDNet-Redaktion. Wenn andere noch schlafen, sichtet er bereits die Nachrichtenlage, sodass die ersten News des Tages meistens von ihm stammen.

Share
Published by
Stefan Beiersmann
Tags: MessengerPrivacySecuritySicherheit
3 Jahren ago

Recent Posts

DE-CIX Frankfurt bricht Schallmauer von 17 Terabit Datendurchsatz pro Sekunde

Neuer Datendurchsatz-Rekord an Europas größtem Internetknoten parallel zum Champions-League-Viertelfinale.

11 Stunden ago

Samsungs neuer LPDDR5X-DRAM erreicht 10,7 Gbit/s

Die neuen Chips bieten bis zu 25 Prozent mehr Leistung. Samsung steigert auch die Energieeffizienz…

15 Stunden ago

Cisco warnt vor massenhaften Brute-Force-Angriffen auf VPNs

Betroffen sind Lösungen von Cisco, Fortinet, SonicWall und anderen Anbietern. Die Hacker nehmen Konten mit…

15 Stunden ago

Cybersicherheit in KMUs: Es herrscht oft Aufholbedarf

Immer häufiger müssen sich Betriebe gegen Online-Gefahren wehren. Vor allem in KMUs werden oft noch…

22 Stunden ago

Chrome 124 schließt 23 Sicherheitslücken

Darunter ist ein weiterer Sandbox-Escape. Angreifer können unter Umständen aus der Ferne Schadcode einschleusen und…

1 Tag ago

Plus 8 Prozent: Gartner hebt Prognose für IT-Ausgaben an

Sie steigt auf 8 Prozent Wachstum in diesem Jahr. Der Bereich IT-Services wächst in diesem…

2 Tagen ago