Баг Facebook Messenger для Android позволял шпионить за пользователями

Татьяна Никитина 20 Ноября 2020 - 13:51

Домашние пользователи

...

В мобильной версии приложения Facebook Messenger устранили уязвимость, с помощью которой можно было прослушивать окружение вызываемого абонента. По свидетельству нашедшего баг эксперта, скрытное подключение к целевому Android-устройству в данном случае выполняется за пару секунд.

Новую лазейку для шпионов обнаружила участница ИБ-проекта Google Project Zero Натали Силванович (Natalie Silvanovich). В Facebook находку оценили в $60 тыс. — это один из крупнейших призов, которые компания выдает в рамках своей программы для баг-хантеров.

Причиной появления уязвимости, со слов Силванович, является некорректная реализация протокола SDP (Session Description Protocol, протокол описания сеансов передачи мультимедиа-данных). Этот протокол является важной частью технологии WebRTC (Web Real-Time Communication, коммуникации в реальном времени), позволяющей проводить конференции в браузере.

При установке WebRTC-соединения между мобильными устройствами происходит краткий обмен сообщениями. Отвечая на звонок, абонент нажимает соответствующую кнопку, подтверждая тем самым свое согласие на подключение и трансляцию аудио.

Проводя аудит мессенджера Facebook, эксперт обнаружила, что из-за ошибки разработчиков злоумышленник может с помощью сообщения SdpUpdate запустить аудиотрансляцию в ходе вызова — без ведома и согласия адресата. Это SDP-сообщение не используется при установке соединения WebRTC, но его вброс позволит автору атаки услышать через наушники все, что происходит рядом с вызываемым абонентом.

Эксплуатация уязвимости предполагает наличие разрешения на звонок намеченной жертве — к примеру, злоумышленник должен числиться в списке друзей на Facebook. Силванович провела пробную атаку на Android с установленным Facebook Messenger версии 284.0.0.16.119 и выяснила, что искомый результат можно получить за пару секунд.

Следующая главная новость »

Vulnerability Management 2026: что в управлении уязвимостями уже не работает?
Регистрируйтесь на эфир!

Екатерина Быстрова 03 Апреля 2026 - 08:01

Мошенничество Онлайн-мошенничество Домашние пользователи

Через Minecraft детей заманивают в Telegram и втягивают в мошенничество

Мошенники добрались до детей и через Minecraft. Столичный департамент образования и науки предупредил, что злоумышленники начали использовать игровые чаты, чтобы выходить на российских подростков и втягивать их в опасные мошеннические схемы.

По данным ведомства, последовательность выглядит так: школьников находят прямо в чатах Minecraft, завязывают разговор, а затем предлагают перейти в Telegram — якобы чтобы удобнее обсудить игровые вопросы.

Дальше сценарий усложняется. После перехода в мессенджер мошенники представляются «сотрудниками кибербезопасности» и начинают запугивать ребёнка.

Они могут обвинять его в передаче координат спецслужбам, угрожать задержанием и давить психологически. Цель, как и во многих подобных схемах, одна — заставить подростка украсть деньги у родителей и передать их курьерам.

То есть игра в этой истории становится просто точкой входа. Сначала обычный контакт в знакомой для ребёнка среде, потом — перевод общения в Telegram, а дальше уже классическая схема давления, построенная на страхе, срочности и авторитетном тоне.

На фоне таких случаев уполномоченный по правам ребёнка в Москве Ольга Ярославская ранее отмечала, что нужно отдельно изучать психологические факторы, из-за которых подростки оказываются уязвимы для подобных манипуляций.

И это, пожалуй, ключевой момент: мошенники всё чаще работают не только с технологиями, но и с эмоциями, хорошо понимая, как именно давить на ребёнка.

Vulnerability Management 2026: что в управлении уязвимостями уже не работает?
Регистрируйтесь на эфир!