19 января 2017 г.

В Facebook Messenger обнаружена уязвимость позволяющая прослушивать голосовые сообщения

В Facebook Messenger обнаружена серьезная проблема с голосовыми сообщениями. Оказывается, что чужое голосовое сообщение можно перехватить и прослушать посредством man-in-the-middle (человек посередине) атаки.

Происходит это, когда пользователь записывает аудиосообщение и отправляет его другому пользователю, файл загружается на CND-сервер Facebook. После этого файл на сервере будет доступен через HTTPS самому отправителю сообщения, а также его получателю.

Злоумышленник, реализовавший man-in-the-middle атаку, может воспользоваться SSL Strip и извлечь абсолютные ссылки на все аудиофайлы, которыми обмениваются пользователи. Затем атакующему нужно будет осуществить даунгрейд этих ссылок (с HTTPS до HTTP), что позволит ему получить прямой доступ к аудио без всякой аутентификации.

Проблема в том, что Facebook не использует механизм HTTP Strict Transport Security (HSTS), чья основная задача – активировать форсированное защищенное соединение через протокол HTTPS. Обычно это значительно облегчает задачу по отражению атак. К тому же, если два пользователя поделились друг с другом файлами, эти файлы должны быть доступны только им и никому более, даже если третья сторона располагает абсолютными ссылками.

Разработчики Facebook признали наличие проблемы и сообщили, что уязвимость рано или поздно будет устранена. На данный момент проблема все еще актуальна.



Читайте также
Как работает шифрование в мессенджере WhatsApp и почему важно сверять коды безопасности
В приложении Viber нашли уязвимость, которая позволяет прослушивать чужие разговоры

Комментариев нет:

Отправить комментарий