Баг Facebook Messenger для Android позволял шпионить за пользователями

Татьяна Никитина 20 Ноября 2020 - 13:51

Домашние пользователи

...

В мобильной версии приложения Facebook Messenger устранили уязвимость, с помощью которой можно было прослушивать окружение вызываемого абонента. По свидетельству нашедшего баг эксперта, скрытное подключение к целевому Android-устройству в данном случае выполняется за пару секунд.

Новую лазейку для шпионов обнаружила участница ИБ-проекта Google Project Zero Натали Силванович (Natalie Silvanovich). В Facebook находку оценили в $60 тыс. — это один из крупнейших призов, которые компания выдает в рамках своей программы для баг-хантеров.

Причиной появления уязвимости, со слов Силванович, является некорректная реализация протокола SDP (Session Description Protocol, протокол описания сеансов передачи мультимедиа-данных). Этот протокол является важной частью технологии WebRTC (Web Real-Time Communication, коммуникации в реальном времени), позволяющей проводить конференции в браузере.

При установке WebRTC-соединения между мобильными устройствами происходит краткий обмен сообщениями. Отвечая на звонок, абонент нажимает соответствующую кнопку, подтверждая тем самым свое согласие на подключение и трансляцию аудио.

Проводя аудит мессенджера Facebook, эксперт обнаружила, что из-за ошибки разработчиков злоумышленник может с помощью сообщения SdpUpdate запустить аудиотрансляцию в ходе вызова — без ведома и согласия адресата. Это SDP-сообщение не используется при установке соединения WebRTC, но его вброс позволит автору атаки услышать через наушники все, что происходит рядом с вызываемым абонентом.

Эксплуатация уязвимости предполагает наличие разрешения на звонок намеченной жертве — к примеру, злоумышленник должен числиться в списке друзей на Facebook. Силванович провела пробную атаку на Android с установленным Facebook Messenger версии 284.0.0.16.119 и выяснила, что искомый результат можно получить за пару секунд.

Следующая главная новость »

ИИ в руках хакеров: как меняются кибератаки в 2026?
Регистрируйтесь на эфир!

Екатерина Быстрова 26 Июня 2026 - 09:28

Windows Домашние пользователи Microsoft

Microsoft продлила бесплатные обновления Windows 10 до 2027 года

Microsoft всё-таки решила не торопить пользователей Windows 10. Корпорация из Редмонда обновила страницу программы Extended Security Updates (ESU) и продлила срок выпуска обновлений безопасности для обычных пользователей до 12 октября 2027 года.

Изначально Windows 10 официально завершила жизненный цикл в конце 2025 года.

После этого Microsoft запустила программу ESU, которая позволяла ещё некоторое время получать критически важные патчи. Если раньше речь шла лишь об одном дополнительном годе поддержки, то теперь пользователи получили ещё одну отсрочку.

На обновлённой странице поддержки говорится, что подключиться к программе ESU можно в любой момент до 12 октября 2027 года. Тем, кто уже участвует в программе, ничего делать не нужно, защита продлится автоматически.

Для корпоративных клиентов ESU существует уже много лет и всегда была платной услугой. Однако для Windows 10 Microsoft впервые сделала её доступной и обычным пользователям, чтобы они могли продолжить получать исправления безопасности даже после окончания официальной поддержки системы.

Такое решение выглядит вполне логичным. Несмотря на активное продвижение Windows 11, миллионы компьютеров по-прежнему работают под управлением Windows 10. Многие устройства не соответствуют новым аппаратным требованиям, а покупка нового компьютера для многих пользователей остаётся слишком дорогой.

В итоге Microsoft решила снизить риски и не оставлять огромное количество компьютеров без критических обновлений. При этом речь идёт именно о патчах, новых функций Windows 10 уже не получит.

Для тех, кто пока не готов переходить на Windows 11, это означает ещё как минимум год дополнительной защиты без необходимости срочно менять десктоп.

ИИ в руках хакеров: как меняются кибератаки в 2026?
Регистрируйтесь на эфир!