ثغرة بتطبيق ماسنجر ساهمت في منح باحثة أميركية مكافأة 60 ألف دولار

صحح فيسبوك ثغرة خطيرة بتطبيق ماسنجر على نظام أندرويد، والذي كان من الممكن أن يسمح للمهاجمين بالتجسس على المستخدمين وربما تحديد محيطهم دون علمهم، إذ اكتشفت ناتالى سيلفانوفيتش، الباحثة الأمنية فى Google Project Zero، الثغرة الأمنية، التى قالت إنها موجودة فى تشغيل التطبيق لـ WebRTC ، وهو بروتوكول يستخدم لإجراء مكالمات صوتية ومرئية من خلال تبادل سلسلة من الرسائل بين المستدعى والمتصل، كما جاء بشرحها للثغرة على الإنترنت.

ففى السيناريو العادى، لن يتم نقل الصوت من الشخص الذى يجرى المكالمة حتى يقبل الشخص الموجود على الطرف الآخر، لكن أوضحت ناتالى: "هناك نوع غير مستخدم لإعداد المكالمة، فإذا تم إرسال هذه الرسالة إلى جهاز المستدعى أثناء الرنين، فسيؤدي ذلك إلى بدء إرسال الصوت على الفور، مما قد يسمح للمهاجم بمراقبة محيط المستدعي."

قدمت سيلفانوفيتش استنساخًا للمسألة خطوة بخطوة فى تقريرها، والذى أظهر أن استغلال الثغرة من قبل أى هاكر لن يستغرق سوى بضع دقائق فقط؛ ومع ذلك، يجب أن يكون لدى المهاجم بالفعل أذونات، أى أن يكون "أصدقاء" على فيس بوك مع المستخدم للاتصال بالشخص على الطرف الآخر.

وكشفت سيلفانوفيتش عن الثغرة لفيس بوك يوم 6 أكتوبر الماضى، وذكرت أن الشركة أصلحت الخلل فى 19 نوفمبر، وفى المقابل حصلت سيلفانوفيتش على 60 ألف دولار مكافأة  ضمن برنامج فيس بوك لاكتشاف الأخطاء الذى أطلقته شبكة التواصل الاجتماعى منذ عام 2011.

فى الواقع، كان اكتشاف سيلفانوفيتش لخطأ ماسنجر واحدًا من العديد من الأشياء التى أبرزتها الشركة فى منشورها الخميس للاحتفال بالذكرى السنوية العاشرة لبرنامج المكافآت.

وكتب Dan Gurfinkel ، مدير هندسة الأمان فى فيس بوك، فى المنشور: "بعد إصلاح الخطأ الذى تم الإبلاغ عنه من جانب الخادم، طبق باحثو الأمن لدينا إجراءات حماية إضافية ضد هذه المشكلة عبر تطبيقاتنا التى تستخدم نفس البروتوكول للاتصال 1: 1"، وأضاف أن جائزة سيلفانوفيتش هى واحدة من أعلى ثلاث جوائز على الإطلاق، "مما يعكس أقصى تأثير محتمل لها".

قد يهمك ايضا 

دراسة حديثة تُؤكِّد أنّ "الروبوتات" تقضي على 85 مليون وظيفةٍ

"غوغل" تعلن نيّتها عن التخلّي عن اثنين من أشهر تطبيقاتها