按 Enter 到主內容區
:::

TWCERT/CC台灣電腦網路危機處理暨協調中心

:::

Facebook 修復 Android 版 Messenger 的資安漏洞

發布日期:
字型大小:
  • 發布單位:TWCERT/CC
  • 更新日期:2020-11-26
  • 點閱次數:2058
Facebook 修復 Android 版 Messenger 的資安漏洞 TWCERT/CC

Facebook 日前修復一個 Facebook Messenger for Android 的嚴重資安漏洞;該漏洞可讓駭客竊聽語音對話內容,甚至受害者身邊的聲音而不被發現。

發現這個漏洞的資安專家,是 Google 旗下資安研究團隊 Project Zero 的 Natalie Silvanovich;專家指出在一般情形下,Facebook Messenger 只會在受話者按下通話按鈕後,才開始傳送音訊資料,但這個漏洞讓駭侵者只要先登入 Facebook Messenger,並且在撥打電話給受害者時同時送出特製的訊息,即可在受害者尚未接起電話時,就啟用音訊資料傳輸;駭侵者將可以竊聽受害者身邊的所有聲音。

這個漏洞出現在 Facebook Messenger 在實作 WebRTC 網路影音傳輸協定時發生的錯誤,受此漏洞影響的 Facebook Messenger for Android 版本為 284.0.0.16.119 與較舊的所有版本。

Natalie Silvanovich 在提報給 Facebook 的資安漏洞通報中,也提供了重現此漏洞的詳細操作步驟。值得注意的是,欲利用這個漏洞進行攻擊的駭侵者,必須擁有和受害者透過 Facebook Messenger 通話的權限,也就是說必須是受害者的朋友,或經受害者同意透過 Facebook Messenger 通話。

Facebook 於 10 月 6 日時接獲 Natalie Silvanovich 的資安漏洞通報,隨即於 11 月 17 日推出修復此漏洞的更新版本;所有在 Android 裝置上使用 Facebook Messenger 的用戶,應即更新至最新版本,以避免遭此漏洞攻擊。

  • 影響產品/版本:Facebook Messenger for Android 284.0.0.16.119 與較舊版本
  • 解決方案:升級至 Facebook Messenger for Android 最新版本
回頁首