Aggiornamenti recenti Dicembre 3rd, 2020 3:20 PM
partner
News Recenti
- Transparency Center Initiative di Kaspersky Lab: cosa significa per l’Italia
- Doppia falla in Xerox DocuShare: documenti sensibili a rischio
- Clamoroso bug in iOS permetteva un attacco “automatico” via Wi-Fi
- IceRat: il trojan “virtuale” che sfugge agli antivirus
- Quando l’Intelligenza Artificiale diventa una minaccia
- Trova due falle zero-day in Windows 7 e 2008 Server… per caso
Falla in Facebook Messenger consentiva di spiare a distanza un utente
Il bug nella versione Android consentiva di chiamare un utente e attivare il microfono prima che questo rispondesse.
Una falla di sicurezza in Facebook Messenger per Android avrebbe permesso di trasformare il telefono della vittima in una perfetta “cimice” per spiare conversazioni a distanza.
A individuare la vulnerabilità è stata Natalie Silvanovich, ricercatrice del team Project Zero di Google, che ha segnalato il bug incassando una ricompensa di 60.000 dollari.
La tecnica individuata consentiva, in pratica, di “ingannare” l’app di messaggistica facendole credere che il destinatario di una chiamata avesse risposto, avviando quindi la trasmissione audio.
Per ottenere il risultato sarebbe sufficiente avviare una chiamata al dispositivo della vittima e, mentre il telefono squilla, inviare un particolare comando tramite un messaggio SDP (Session Description Protocol).
Il comando in questione (SdpUpdate) impatta sul protocollo WebRTC utilizzato sull’app Messenger per Android per gestire le chiamate audio e video. Nel dettaglio, il messaggio avvia la conversazione anche se il destinatario della chiamata non ha ancora risposto.
Ma quale può essere il reale impatto di un simile attacco? In buona sostanza dipende dal contesto. Se la vittima per esempio ha disattivato la suoneria, potrebbe non accorgersi della chiamata e la tecnica consentirebbe, a questo punto, di monitorare l’ambiente in cui si trova proprio come un microfono spia.
La segnalazione della ricercatrice è stata immediatamente presa in carico dagli sviluppatori di Menlo Park che hanno sfornato la patch a tempo di record, rispettando ampiamente il termine di 90 giorni fissato da Natalie Silvanovich.
La ricercatrice, su Twitter, ha annunciato di aver devoluto i 60.000 dollari ricevuti da Facebook a GiveWell, un’organizzazione no-profit che si occupa di aiutare persone bisognose.
Condividi l'articolo
Articoli correlati
Altro in questa categoria
Approfondimenti
-
Deepfake: come possono difendersi le aziende? L’utilizzo di app basate su algoritmi di AI per la... -
Check Point: dopo il Covid il rischio è una pandemia cyber Il nuovo scenario del panorama IT delinea priorità e... -
Il Perimetro di sicurezza cibernetica: la lunga strada per... Cosa significa la sua istituzione, come è stato... -
La crittografia è diventata una priorità Lo dice il Thales Data Threat Report 2020. Le aziende... -
WatchGuard acquisisce Panda Security: cosa significa? Dopo aver manifestato l’intenzione di acquisire Panda...
Minacce recenti
Off topic
-
Maythefourth: La caduta dell’Impero Galattico è... E se vi dicessimo che la saga di Star Wars ... -
Gli hacker e il cinema: i dieci migliori film secondo... Abbiamo rubato al blog di Kaspersky un vecchio pezzo di... -
Campione di scacchi blinda il PC. “Paura degli hacker” Il numero uno degli scacchi mondiali Magnus Carlsen ha... -
L’autore di fsociety pensa di essere Mr. Robot, ma è un... Il pirata informatico che ha creato il ransomware cerca... -
Yahoo sospende l’inoltro delle email. Paura di un esodo... Dopo la raffica di figuracce, l’azienda sospende per...
Post recenti
-
Doppia falla in Xerox DocuShare: documenti sensibili a... L’azienda ha rilasciato un aggiornamento per correggere... -
Clamoroso bug in iOS permetteva un attacco “automatico”... La vulnerabilità è stata corretta a maggio, ma i... -
IceRat: il trojan “virtuale” che sfugge agli antivirus Il malware utilizza una macchina virtuale JavaScript per... -
Quando l’Intelligenza Artificiale diventa una minaccia Non solo business e software di protezione: AI e Machine... -
Trova due falle zero-day in Windows 7 e 2008 Server… per... Il ricercatore francese ha “incrociato” le...
Doppia falla in Xerox DocuShare: documenti sensibili a rischio
L’azienda ha rilasciato un aggiornamento per correggere le due vulnerabilità,... Continua →
Vocabolario della sicurezza
