Appel Facebook Messenger : Et si on vous écoutait avant même d'avoir décroché

Facebook a récemment corrigé un bogue dans sa très populaire application Messenger pour Android et qui aurait pu permettre à un hacker d'appeler des victimes et de les écouter avant même qu’il n’ait eu le temps de décrocher l'appel audio.

La faille a été découverte et signalée à Facebook par Natalie Silvanovich de l'équipe de chercheurs de bugs du Projet Zéro de Google le mois dernier, le 6 octobre précisément .
Elle affecte la version 284.0.0.16.119 (et celles avant) de Facebook Messenger pour Android. Evidemment ce genre d’informations ne sauraient être rendues publiques avant d’avoir été corrigées. Ce qui justifie la publication actuelle de ce contenu.

En bref, la vulnérabilité aurait pu permettre à un attaquant connecté à l'application de lancer un appel et d'envoyer un message spécialement conçu à une cible qui est connectée à la fois à l'application et à un autre client Messenger tel que le navigateur web. Imaginez donc une victime du nom de “Michel” qui reçoit donc un appel et avant qu’il n’ait eu le temps de décrocher, quelqu’un à l’autre bout du fil lui dit “ Hey Michel c’est moi, j’ai besoin de toi”. Bizarre n’est ce pas? Mais tout aussi dangereux. 

Dan Gurfinkel, responsable de sécurité chez Facebook a déclaré que : .
"Cela déclencherait alors un scénario dans lequel, pendant que l'appareil sonne, l'appelant commencerait à recevoir de l'audio, soit jusqu'à ce que la personne appelée réponde, soit jusqu'à ce que l'appel soit terminé", 
Selon un document technique rédigé par M. Silvanovich, la faille réside dans le protocole de description de session (SDP) du WebRTC.

Pour avoir trouvé et signalé cette faille d’une gravité extrême, Silvanovich reçut une prime exceptionnelle de 60 000 dollars.

Détails et POC ici

 

Source : POC Facebook Security Team