Lỗ hổng trong Facebook Messenger Có Thể Cho Phép Hacker Nghe Trộm

Đã gần một thập kỷ kể từ khi Facebook bắt đầu trả tiền thưởng cho các nhà nghiên cứu tìm và tiết lộ các lỗ hổng trong các nền tảng của công ty. Trong khoảng thời gian 10 năm đó, mạng xã hội này đã chứng kiến sự phổ biến và những vấn đề nghiêm trọng, khi các vấn đề liên quan đến quyền riêng tư và thông tin sai lệch đã ảnh hưởng đến địa chính trị trên khắp thế giới. Nhưng ít nhất, chương trình thưởng lỗ hổng luôn là điểm sáng ổn định, năm nay đã trả thưởng hai trong số ba khoản thưởng lớn nhất từ trước đến nay—bao gồm 60,000 đô la cho một lỗi trong Messenger có thể cho phép kẻ tấn công gọi điện và nghe âm thanh từ điện thoại của bạn trước khi bạn nhấc máy.

Được phát hiện bởi Natalie Silvanovich của nhóm săn lỗi Project Zero của Google, lỗ hổng này, đã được vá lỗi, có thể đã được khai thác trên Messenger cho Android nếu kẻ tấn công đồng thời gọi đến một mục tiêu và gửi cho họ một tin nhắn vô hình được tạo ra đặc biệt để kích hoạt cuộc tấn công. Từ đó, kẻ tấn công sẽ bắt đầu nghe âm thanh từ phía cuộc gọi của nạn nhân, ngay cả khi họ không nhấc máy, trong thời gian cuộc gọi đổ chuông. Lỗ hổng này có một số điểm tương đồng với lỗi mà Apple đã vội vàng vá lần cuối năm ngoái trong cuộc gọi nhóm FaceTime.

"Những gì bạn thấy là kẻ tấn công gọi điện cho bạn và sau đó điện thoại reo lên và họ có thể nghe cho đến khi bạn nhấc máy hoặc cuộc gọi kết thúc," Dan Gurfinkel, quản lý kỹ thuật an ninh của Facebook, nói. "Chúng tôi nhanh chóng vá lỗi này trước khi bị tận dụng."

Lỗ hổng này khó để khai thác trong thực tế vì một số lý do. Đòi hỏi cả kẻ tấn công và mục tiêu đều phải đăng nhập vào Facebook cho Android và nạn nhân cũng đăng nhập vào Messenger qua trình duyệt web hoặc cách khác. Không giống như lỗ hổng trên FaceTime, mà người dùng thông thường có thể khai thác, ở đây kẻ tấn công cần các công cụ kỹ thuật đảo ngược để gửi tin nhắn thứ hai đặc biệt. Người gọi và người nhận cũng cần phải là "bạn" trên Facebook để cuộc tấn công hoạt động, giới hạn hiệu quả so với việc gọi điện cho bất kỳ ai một cách bất ngờ. Tuy nhiên, với hơn 2.7 tỷ người dùng hoạt động trên Facebook hiện nay, có thể tìm được một số người dùng thỏa mãn gần như mọi thông số.

"Sau khi một lỗ hổng tương tự được báo cáo trong FaceTime năm ngoái, tôi đã bắt đầu điều tra xem loại lỗ hổng này có tồn tại trong các ứng dụng họp trực tuyến khác," Silvanovich của Project Zero nói. "Đến nay, đã có bốn lỗ hổng được sửa đổi trong Signal, Mocha, JioChat, cũng như Facebook Messenger. Và tôi vẫn tiếp tục nghiên cứu các ứng dụng khác."

Thay vì cần phải phát hành một bản vá trong ứng dụng di động, Facebook đã có thể điều chỉnh cơ sở hạ tầng trên máy chủ của mình để sửa chữa lỗ hổng ngay lập tức cho tất cả người dùng. Và công ty đã có thể xác định một cách chắc chắn rằng lỗ hổng chưa bao giờ được khai thác, vì không có logs chứa bằng chứng về các tin nhắn giao thức chiến lược mà kẻ tấn công cần phải gửi.

Do tính chất công việc của Project Zero, Silvanovich nói cô đã tiết lộ lỗ hổng cho Facebook dù họ có cung cấp thưởng bug bounty hay không.

Bất kể động cơ của một người tham gia, chương trình bug bounty của Facebook cung cấp phần thưởng cao nhất có thể cho mức độ nghiêm trọng—ngay cả khi bản gốc chỉ đủ để nhận một giải thưởng nhỏ. Ví dụ, chương trình năm nay đã trao giải $80,000, mức thưởng cao nhất từ trước đến nay, cho một bản báo cáo có giá trị khoảng $500, nhưng đã dẫn dắt các nhà nghiên cứu bảo mật của công ty tìm ra một lỗ hổng quan trọng hơn. Lỗ hổng trong "mạng phân phối nội dung" của Facebook, một phần của cơ sở hạ tầng nội bộ của công ty để cung cấp dữ liệu, ban đầu có vẻ nhỏ. Nhưng nó gợi ý đến một vấn đề sâu hơn khi một số URL của hệ thống vẫn có thể truy cập sau khi chúng được lập trình để hết hạn, tạo ra một cơ hội tiềm ẩn cho việc thực thi mã từ xa hoặc kiểm soát từ xa của CDN. Vấn đề đã được vá hoàn toàn và Gurfinkel nói rằng không có dấu hiệu nào cho thấy nó từng bị khai thác, nhưng Selamet Hariyanto, một người tham gia bug bounty lần đầu, đã nhận được một khoản tiền lớn từ một phát hiện có vẻ đơn giản.

Trong gần 10 năm, chương trình đã nhận hơn 130,000 báo cáo bao gồm 6,900 nhận được thưởng—tổng cộng $11.7 triệu. Chỉ trong năm 2020, Facebook đã trả ra $1.98 triệu cho hơn 1,000 bản báo cáo. Các chương trình bug bounty đã trở nên phổ biến trong ngành công nghệ. Ngay cả những người tham gia muộn như Apple hiện đã cung cấp những phần thưởng lớn, một số lên đến hàng triệu đô la cho những lỗ hổng quan trọng nhất.

"Tôi tự hào về các nhà nghiên cứu của chúng tôi—đó là minh chứng cho sức mạnh của sự hợp tác," Gurfinkel nói. "Suốt những năm qua, chúng tôi đã tiến triển và mở rộng ra tất cả các nền tảng khác nhau như Messenger, Instagram và WhatsApp. Và việc chúng tôi kiểm tra tác động tối đa từ mỗi báo cáo giúp an ninh Facebook, và nó chứng minh rằng ngay cả khi bạn nghĩ bạn đã tìm thấy điều gì đó nhỏ nhất, bạn vẫn nên báo cáo cho chúng tôi."

Những câu chuyện tuyệt vời từ MYTOUR

• 📩 Muốn nhận thông tin mới nhất về công nghệ, khoa học và hơn thế nữa? Đăng ký nhận bản tin của chúng tôi!
• Câu chuyện kỳ lạ và vòng xoắn của hydroxychloroquine
• Cách thoát khỏi một con tàu đắm (như con tàu Titanic)
• Tương lai của McDonald's nằm trong làn đường qua cửa hàng
• Tại sao việc sử dụng sạc điện thoại của bạn lại quan trọng
• Kết quả vắc xin Covid mới nhất, được giải mã
• 🎮 MYTOUR Games: Nhận những thông tin, đánh giá mới nhất và hơn thế nữa
• 💻 Nâng cấp công việc của bạn với những chiếc laptop, bàn phím, lựa chọn gõ tốt và tai nghe chống ồn được yêu thích từ đội ngũ Gear của chúng tôi