В мессенджере исправили баг, который позволял хакерам присоединяться к звонкам без ведома или одобрения пользователя.
Наталья Сильванович, исследовательница команды безопасности Google Project Zero, обнаружила уязвимость в процессе аудита безопасности. Баг шпионил за пользователями платформы Android.
Согласно докладу Сильванович, баг находился в протоколе WebRTC, который использовался для поддержки аудио- и видеозвонков.
Более того, Сильванович уточнила в своем докладе, что уязвимость обнаружили в SDP (Session Description Protocol), составной части WebRTC. SDP содержит данные сессий для соединений WebRTC. Сильванович обнаружила, что сообщения SDP могут быть использованы для автоматического подтверждения соединений WebRTC без вмешательства пользователя.
Исследовательница Google доложила об инциденте в прошлом месяце, а на днях Facebook исправил сбой, выпустив новую версию для Android.