Откриена е грешка во функцијата Messenger Rooms на Facebook што му овозможува на напаѓачот пристап до сите приватни фотографии и видеа, како и други чувствителни податоци зачувани на заклучен телефон.
Како што се гледа на видеото доставено до Facebook како доказ за концептот заедно со извештајот за ранливоста, сметката на Facebook може да се преземе со повик во Messenger Rooms. Иако е потребен физички пристап до уредот на жртвата, нападот може да се изведе без отклучување на телефонот или таблетот. Откритието на непалскиот истражувач Самип Ариал му донесе награда од 3.000 американски долари.
Откритието на Ариал беше поттикнато од сличен „баг“ во Messenger што истиот истражувач го откри во октомври 2020 година. Ариал тогаш откри дека може да ги види приватно зачуваните видеа на жртвата, видеата што ги гледала и видеата што ги споделила без да го отклучува нејзиниот телефон за време на Messenger разговор преку функцијата „Watch Together“.
Багот, кој исто така може да го користи само напаѓач со физички пристап до заклучен смартфон со Android, е отстранет и Facebook поправи уште неколку слични грешки, така што сега бара телефонот да се отклучува пред да се користат вакви чувствителни функции од заклучен Android телефон.
Arial користел две тест сметки на Facebook. На едната бил пријавен на телефон Android и таа сметка играла улога на жртва, а од друг бил пријавен на компјутер и тоа била сметката на напаѓачот. Android телефонот бил заклучен. Тој создал соба од сметката на напаѓачот и ја поканил сметката на жртвата да се придружи. Потоа ја повикал сметката на жртвата од делот „Поканети корисници“. По неколку секунди, телефонот, чиј екран бил заклучен, започнал да ѕвони. Ариал одговорил на повикот од телефонот и ги испробал сите претходно познати чувствителни функции, но за сите тие функции, телефонот морал прво да се отклучи за да може да се користи.
Постигнат е напредок кога истражувачот забележал опција во горниот десен агол на екранот за разговор на учесниците во собата.
„Открив дека можам да пристапувам до сите приватни фотографии / видеа на тој уред дури и без отклучување на телефонот“, како и објавување приказни на профилот на жртвата на Facebook најавени на сметката со кликнување на опцијата „уреди“ за кој било медиум “, рече тој.
Според Ариал, безбедносниот тим на Facebook објави итно ажурирање за ранливите страни на клиентот и страната на серверот во рок од еден ден од неговиот извештај, за да го поправи и во претходните ранливи верзии.
Висината на наградата беше добредојдено изненадување, рече непалскиот истражувач, бидејќи сценариото за напад бара физички пристап до уредот на жртвата, иако примарната бариера за автентикација на уредот се покажа како неефикасна во овој случај.