r   e   k   l   a   m   a
r   e   k   l   a   m   a

Messenger podatny na kradzież nagrań audio. Podsłuchuje nie tylko Wielki Brat

Strona główna AktualnościBEZPIECZEŃSTWO

Często wykorzystywaną metodą komunikacji za pośrednictwem facebookowego Messengera jest przesyłanie nagrań głosowych. Można w ten sposób zaoszczędzić czas na wpisywaniu znaków i po po prostu opowiedzieć coś znajomemu, do którego automatycznie przesyłany jest plik audio. Problem w tym, że taką wiadomość dość łatwo podsłuchać.

Uwagę na to zwraca w rozmowie z The Hacker News Mohamed A. Baset, który odkrył podatność Messengera na przechwycenie wiadomości głosowej. Dokonać można tego niezależnie od wersji systemu operacyjnego, mobilnego czy desktopowego klienta facebookowego komunikatora.

Nagrania można bowiem przechwycić dzięki klasycznemu atakowi typu man-in-the-middle. Wystarczy, że atakujący będzie podłączony do sieci użytkownika i z wykorzystaniem SSL Stripa przekieruje ruch przez swoje urządzenie. W wyniku braku odpowiedniej polityki (HSTS, które wymuszałoby wykorzystanie HTTPS na przeglądarkach), możliwe jest następnie degradowanie nagłówków z HTTPS na HTTP.

r   e   k   l   a   m   a

Podatność tkwi bowiem w sposobie, jaki nagranie audio trafia do okna konwersacji w Messengerze. Jest ono automatycznie wysyłane na serwer w systemie CDN, a następnie pobierany przez instalacje Messengera na urządzeniach rozmówców, także autora nagrania.

Serwery Facebooka nie wymuszają na przeglądarkach korzystania z protokołu HTTPS, w efekcie czego atakujący może uzyskać dostęp do pliku audio przechowywanego na serwerach Facebooka. Baset podzielił się nawet linkiem do przechwyconego w ten sposób pliku, który wciąż przechowywany jest na serwerach błękitnego serwisu.

Podatność zostaje wciąż niezałatana, Baset przesłał do przedstawicieli Facebooka wiadomość, w której zaleca wprowadzenie polityki HSTS. Dzięki niej połączenie się z serwerami odpowiedzialnymi za przesyłanie nagrań po HTTP będzie niemożliwe. Na razie jednak wciąż da się to zrobić, przez co odradzamy korzystanie z tej formy komunikacji w sieciach publicznych.

© dobreprogramy

Komentarze

r   e   k   l   a   m   a
r   e   k   l   a   m   a
Czy wiesz, że używamy cookies (ciasteczek)? Dowiedz się więcej o celu ich używania i zmianach ustawień.
Korzystając ze strony i asystenta pobierania wyrażasz zgodę na używanie cookies, zgodnie z aktualnymi ustawieniami przeglądarki.   

Trwa konkurs "Ogól naczelnego", w którym codziennie możecie wygrać najnowsze maszynki systemowe Hydro Connect 5 marki Wilkinson Sword.

Więcej informacji

Gratulacje!

znalezione maszynki:

Twój czas:

Ogól Naczelnego!
Znalazłeś(aś) 10 maszynek Wilkinson Sword
oraz ogoliłaś naszego naczelnego!
Przejdź do rankingu
Podpowiedź: Przyciśnij lewy przycisk myszki i poruszaj nią, aby ogolić brodę.