Facebook Messenger Zafiyeti Siber Korsanlara ‘Arama Öncesinde’ Kişileri Dinleme Olanağı Tanıdı

Facebook, siber korsanların telefonlara uzaktan erişerek arama yapabilmelerini ve henüz cevaplanmadan hedeflenen kişiyi dinlemelerine neden olan Android tabanlı Messenger zafiyetini yamadığını açıkladı.

Zafiyet, Google’ın sıfır gün zafiyetlerini tespit etmekte özelleşen Project Zero ödül avcısı projesinde yer alan beyaz şapkalı hacker Natalie Silvanovich tarafından tespit edildi. 6 Ekim’de Facebook’a bildirilen zafiyetin Android Facebook Messenger uygulamasının 284.0.0.16.119 ve önceki versiyonlarında geçerli olduğu belirtildi.

Söz konusu güvenlik zafiyeti, siber korsanların eşzamanlı olarak hedefledikleri kişiyi aramalarına ve mesaj göndermelerine izin veriyordu. Hedefteki kişinin, eşzamanlı saldırıya maruz kalması için Messenger’ın hem mobil hem de web uygulamasında hesabının açık olması gerekiyordu.

Facebook Güvenlik Mühendisliği Yöneticisi Dan Gurfinkel, saldırı esnasında hedefteki kişiyi arayan siber korsanın aramasının cevaplandığı veya aramanın cevaplandırılmadan sona erdiği kadar karşı taraftan ses kaydı yapabildiğini ifade etti. Silvanovich tarafından yapılan açıklamada, güvenlik zafiyetinin WebRTC Session Decription Protokolü’nde (SDP) yattığı belirtildi. SDP, iki uç nokta arasında aktarılan medyanın etkileşimini sağlamak için standart bir format belirliyor. Siber korsan, protokolü kullanarak “SdpUpdate” adı verilen özel bir tür mesaj oluşturabiliyor. Bu sayede arama, aramayı yapan kişinin cihazına cevap verilmeden önce bağlanmış oluyor.

WebRTC üzerinden yapılan sesli ve görüntülü aramalar normalde aranan kişi “kabul/cevapla” tuşuna basmadan ses iletmiyor. Ancak SdpUpdate mesajı çalmakta (aranmakta) olan cihaza gönderildiğinde cihazın direkt ses iletmeye başlamasını sağlıyor. Siber korsan bu sayede aranan kişinin çevresi hakkında bilgi edinebiliyor.

Geçtiğimiz yılki FaceTime güvenlik sorununa benziyor…

Güvenlik uzmanları, Facebook Messenger’da tespit edilen zafiyetin belli yönleriyle Apple’ın FaceTime grup sohbetlerinde geçtiğimiz yıl tespit edilen güvenlik sorununa benzediğini hatırlattı. Söz konusu zafiyette, kendilerini sohbet grubuna üçüncü parti olarak ekleyen kişiler arama başlatabiliyor ve arama cevaplanmadan önce karşı tarafı dinleyebiliyordu.

Apple, ortaya çıkan zafiyetin ciddiyeti karşısında grup sohbetlerini geçici olarak devre dışı bırakmış ve kapsamlı bir işletim sistemi (iOS) güncellemesine kadar da tekrar sunmamıştı. Ancak, Messenger zafiyetinden yararlanmak bir siber korsan için FaceTime’dan daha zor. Çünkü, arayan kişi ile aranan kişinin Facebook’ta arkadaş olmasının gerekmesi (spesifik bir kişiyi aramak için izin) gerekiyor.

Ek olarak siber korsanların aynı zamanda Frida gibi tersine mühendislik araçlarını kullanarak kendi Messenger uygulamalarını “SdpUpdate” mesajı göndermesi için manipüle etmesi gerekiyor.

Silvanovich, keşfettiği zafiyetin ardından Facebook‘un bugüne dek sunduğu en yüksek üç ödül avcısı ikramiyesinden biri olan 60.000 dolar ile ödüllendirildi. Başarılı beyaz şapkalı hacker, ödülü kâr amacı gütmeyen GiveWell örgütüne bağışladı.

Silvanovich’in geçmişte WhatsApp, iMessage, WeChat, Signal ve Reliance JioChat uygulamalarında da zafiyetler bulduğu biliniyor.