À l'occasion du dixième anniversaire de son programme de Bug Bounty, Facebook a mis en avant deux bugs de sécurité ayant fait l'objet d'un rapport. Un de ces deux bugs concernait l'application de messagerie Messenger pour Android.
Rapporté par Natalie Silvanovich de Project Zero de Google, le bug aurait pu permettre à un attaquant de lancer un appel et d'envoyer simultanément un message invisible à une personne connectée sur Messenger pour Android et un client web Messenger.
Ce message spécialement conçu aurait permis de déclencher l'attaque. Pendant que l'appareil sonnait, Facebook explique que l'appelant pouvait être en mesure de commencer à recevoir l'audio, soit jusqu'à ce que la personne appelée réponde, soit le temps de l'appel.
Un air du bug FaceTime de 2019, mais plus difficilement exploitable
Exploitable au final sans une interaction de la victime, un tel bug d'espionnage n'est pas sans rappeler celui qui avait touché FaceTime d'Apple l'année dernière. Ce n'est pas un hasard. C'est à la suite du bug de FaceTime que Natalie Silvanovich a décidé de partir en quête de vulnérabilités similaires dans des applications de visio (Wired).
Toutefois, Facebook souligne une attaque sophistiquée et avec un attaquant ayant déjà des autorisations pour appeler une victime. " Il devrait également utiliser des outils de reverse engineering pour manipuler sa propre application Messenger afin de la forcer à envoyer un message personnalisé. " Loin de la découverte fortuite du bug FaceTime par un adolescent.
La faille a été corrigée côté serveur et n'aurait jamais eu le temps d'être exploitée, puis des protections supplémentaires ont été ajoutées à l'application. Le rapport du bug a été récompensé à hauteur de 60 000 $. Natalie Silvanovich a fait un don à l'organisation caritative GiveWell.
Facebook generously awarded a bounty of $60,000 for this bug, which I’m donating to the @GiveWell Maximum Impact Fund https://t.co/JvZt9Fw4nx
— Natalie Silvanovich (@natashenka) November 19, 2020
Elle souligne que le bug - rapporté début octobre - était en lien avec WebRTC que l'application Messenger utilise pour les appels audio et vidéo. En particulier, au niveau du protocole SDP (Session Description Protocol).
