Facebook telah memperbaiki bug keamanan utama hari ini di aplikasi Messenger untuk Android yang memungkinkan penyerang untuk melakukan dan menghubungkan panggilan audio Messenger tanpa sepengetahuan atau interaksi penelepon.
Kerentanan tersebut, yang bisa saja disalahgunakan untuk memata-matai pengguna Facebook melalui ponsel Android mereka, ditemukan selama audit keamanan oleh Natalie Silvanovich, seorang peneliti yang bekerja untuk tim keamanan Project Zero Google.
Dalam laporan bug yang dipublikasikan hari ini, Silvanovich mengatakan bug tersebut berada di protokol WebRTC yang digunakan aplikasi Messenger untuk mendukung panggilan audio dan video.
Lebih khusus lagi, Silvanovich mengatakan bahwa masalahnya ada di Session Description Protocol (SDP), bagian dari WebRTC. Protokol ini menangani data sesi untuk koneksi WebRTC, dan Silvanovich menemukan bahwa pesan SDP dapat disalahgunakan untuk menyetujui koneksi WebRTC secara otomatis tanpa interaksi pengguna.
sumber : ZDNET
