أصحلت شركة فيسبوك ثغرة أمنية في تطبيق منصة مسنجر لنظام أندرويد، بحيث كانت هذه الثغرة تتيح للمهاجمين التجسس على المستخدمين دون علمهم.
وتم تثبيت تطبيق منصة مسنجر لنظام أندرويد عبر أكثر من مليار جهاز أندرويد، وذلك وفقاً للصفحة الرسمية للتطبيق ضمن متجر Google Play.
وإكتشفت ناتالي سيلفانوفيتش، الباحثة الأمنية في فريق أمانProject Zero التابع لشركة Google، الثغرة الأمنية.
وقالت الباحثة “إن الثغرة موجودة في طريقة تطبيق بروتوكولWebRTC الذي يستخدمه تطبيق منصة مسنجر لإجراء المكالمات الصوتية والمرئية”.
وتكمن المشكلة في بروتوكول SDP، وهو جزء من بروتوكولWebRTC ، ويعالج بروتوكول SDPبيانات الجلسة لإتصالات بروتوكولWebRTC .
وإكتشفت سيلفانوفيتش أنه يمكن إساءة إستخدام رسالة بروتوكول SDPللموافقة التلقائية على إتصالات بروتوكولWebRTC دون تدخل المستخدم.
ويستغرق إستغلال الثغرة بضع ثوان، وذلك وفقاً لتقرير خطأ سيلفانوفيتش، ومع ذلك يجب أن يكون لدى المهاجم أذونات (أي أن يكون من ضمن أصدقاء المستخدم عبر فيسبوك) للإتصال بالهدف على الطرف الآخر.
وأبلغت الباحثة فيسبوك عن المشكلة، وصححتها عملاقة التواصل الإجتماعي عبر تحديث من جانب الخادم لمنصة مسنجر.
وقالت سيلفانوفيتش “إن شركة فيسبوك منحتها 60 ألف دولار مكافأةً للإبلاغ عن المشكلة”.
وقالت فيسبوك، التي قدمت أيضاً تبرعاً خاصاً بها بقيمة 60 ألف دولار إلى GiveWell جائزة سيلفانوفيتش هي واحدة من أعلى الجوائز الثلاث لدينا على الإطلاق التي هي بقيمة 60 ألف دولار، مما يعكس أقصى تأثير محتمل”.
وفي السنوات السابقة، وجدت سيلفانوفيتش أيضاً مشكلات مماثلة في تطبيقات المراسلة الفورية الأخرى وأبلغت عنها، وهو أحد مجالات خبرتها.
