In der Android-Version des Facebook-Messengers wurde eine Sicherheitslücke entdeckt, durch welche Angreifer Nutzer durch einen Anruf unbemerkt abhören hätten können. Der Fehler wurde von Facebook bereits behoben, so das Unternehmen in einer Aussendung. Die Finderin soll mit einem 60.000 US-Dollar hohen Bounty belohnt werden.

Beim Klingeln abgehört

Seit zehn Jahren bietet Facebook ein Bounty-Programm für das Finden und Aufzeigen technischer Fehler in ihren Social-Media-Angeboten an. Der neueste Fund gelang Sicherheitsforscherin Natalie Silvanovich von Googles "Zero Day"-Forschungsteam . Die entdeckte Lücke erlaubte es Angreifern mit Hilfe einer verborgenen Nachricht Nutzer durch einen Anruf abzuhören. Die Sicherheitslücke ähnelt jener, die 2019 bei Apples Videochat-Service Facetime entdeckt wurde.

Wie Silvanovich in ihrem Bericht schreibt, hätte ein Angreifer bereits vor der Beantwortung des Anrufs eine Audioübertragung vom Gerät des Opfers erhalten können. "Wenn diese Nachricht während des Klingelns an die angerufene Person gesendet wird, beginnt sofort eine Audioübertragung, sodass ein Angreifer die Umgebung des Angerufenen überwachen kann", berichtet Silvanovich.

Hürden

Laut Facebooks Sicherheitsmanager Dan Gurfinkel sei Dank Googles "Zero Day"-Team die Lücke gestopft worden, bevor sie ausgenutzt werden konnte. Im Vergleich zu Apples Facetime-Lücke, die auch von normalen Nutzern verwendet werden konnte, gibt es einige Vorraussetzungen, die Angreifer erfüllen müssten, um einen Lauschangriff zu starten.

Zum einen müssten sowohl Angreifer als auch Opfer im Facebook-Messenger für Android eingeloggt sein, wobei die angerufene Person ebenfalls auf der Browser-Version Facebooks angemeldet sein müsste. Zum anderen wird eine Berechtigung für einen Anruf benötigt, beispielsweise eine bestätigte Freundschaftsanfrage. Um die auslösende Nachricht während des Anrufaufbaus zu versenden, benötigt ein Angreifer zudem ein technisches Reverse-Engineering-Tool.

Behebung ohne Update

Das Problem löste Facebook serverseitig, somit wurde kein Patch-Update für die mobile App benötigt, um den Fehler für alle Nutzer gleichzeitig zu beheben. Das Unternehmen geht davon aus, dass der Fehler in der Praxis nicht ausgenutzt wurde, da Protokolle keinen Hinweis auf jene Nachrichten, die Angreifer für die Belauschung von Nutzern nutzen, so Facebook. (red, 21.11.2020)