רוב האנשים לא אוהבים להקליד הודעות ארוכות בזמן שהם מתכתבים בסמארטפון, אבל הודות לפיצ'ר ההודעות הקוליות שמאפשרות וואטסאפ ופייסבוק מסנג'ר, החיים שלנו הרבה יותר קלים ואנחנו לא צריכים להשקיע מאמץ בהקלדת הודעות ארוכות.
אם אתם מהז'אנר שמתעצל להקליד ומאלה ששולחים הודעות קוליות בפייסבוק מסנג'ר, שימו לב! ייתכן שיש כאלה שיוכלו להאזין להודעות הקוליות הפרטיות שלכם. מה שבאמת מלחיץ זה שהפרצה טרם תוקנה על ידי ענקית המדיה.
חוקר מצרי בשם מוחמד בסט סיפר לאתר The Hacker News על הפגם שנמצא בהודעות הקוליות בפייסבוק מסנג'ר המאפשרת לצד שלישי לחלץ את ההודעות הקוליות מהשרת של פייסבוק ולהאזין להן.
איך בדיוק התקיפה עובדת?
בכל פעם שמקליטים הודעה קולית או הודעת וידיאו, הן נשמרות בקובץ זמני על שרת של פייסבוק - הקובץ משותף בין הצדדים שמנהלים את השיחה במסנג'ר וההודעה מגיעה באמצעות לינק לשולח ולמקבל ההודעה. אם מישהו פורץ לרשת האלחוטית של המשתמש הוא יכול באמצעות מתקפה פשוטה לשלוף את הלינק, להמיר אותו ולאפשר הורדה שלו לכל אחד ולא רק למי שמנהל את השיחה.
בסרטון הבא החוקר מדגים כיצד הוא עשה זאת
אתם בטח תוהים איך האקרים יכולים להוריד בקלות את הקבצים שלכם...
אז איפה הכול השתבש?
ראשית, כל זה קורה בגלל ששרתי CDN של פייסבוק האחראים על העברת המידע לא מוגדרים לחייב עבודה בפרוטוקול אינטרנט מאובטח. פרוטוקול זה מחייב את המשתמש או הדפדפן לתקשר עם פייסבוק רק בפרוטוקול https שהוא מאובטח ובגלל זה הוא עוזר להגן על האתרים מהתקפות. שינמוך פרוטוקולים אשר גורם למשתמש לעבור לפרוטוקול ישן ולא בטוח מאפשר לקרוא את המידע שעובר בינו לבין פייסבוק.
שנית, היעדר אימות הוא בעייתי, אם הקובץ משותף בין שני משתמשי פייסבוק הוא לא אמור להיות נגיש לאף אחד פרט לשניים שלוקחים חלק בהתכתבות. גם אם למישהו יש את הגישה לקישור של קבצי האודיו יש לאכוף את הגישה לפתיחתם.
חשוב לזכור שתוכנות מסרים ובכלל שירותים של החברות הגדולות הם שירותים חינמיים בגלל שהמשתמש מייצר הכנסה לאותן חברות. את ההכנסה מייצר איסוף מידע שמתבצע על כל המשתמשים ונמכר לחברות פרסום. לכן בלי קשר לפריצה כזו או אחרת, מומלץ שלא להעביר מידע אישי או רגיש במסנג'ר של פייסבוק או בוואטסאפ של גוגל (שגם בה התגלתה פרצה נוספת לאחרונה), ולהשתמש בתוכנות שאינן מוכרות מידע לחברות פרסום ושמות דגש על אבטחה כמו Telegram.
ומה פייסבוק אומרים?
בסט התריע בפני חברת פייסבוק על האפשרות לחלץ את ההודעות הקוליות והחברה אכן הודתה בכך, אך טרם תיקנה את הבעיה.