Bug Facebook Messenger Memungkinkan Hacker Lakukan Aksi Memata-matai Pengguna Lain

Bug Facebook Messenger Memungkinkan Hacker Lakukan Aksi Memata-matai Pengguna Lain

facebook-messenger-vulnerability-webrtc

Platform media sosial Facebook, baru-baru ini memperbaiki bug yang memungkinkan siapapun dapat melakukan panggilan telepon melalui Messenger tanpa sepengetahuan dari korban ataupun tanpa terdeteksi oleh pengguna Messenger.

Akibatnya, kerentanan tersebut kemungkinan akan disalahgunakan untuk melakukan tindakan memata-matai pengguna Facebook Messenger hanya dengan smartphone. Temuan ini pertama kali ditemukan oleh peneliti audit keamanan Project Zero Google, yakni Natalie Silvanovich.

Hasil penelitian Natalie Silvanovich yang dipublikasikan kemarin, bahwa bug tersebut ditemukan pada protokol WebRTC yang dimiliki oleh Facebook Messenger untuk melakukan panggilan telepon maupun panggilan video.

WebRTC yang digunakan oleh Facebook Messenger untuk bertukar serangkaian pesan pendek sang penelepon dan penerima penelepon. Pengaturan setLocalDescription untuk mengatur media audio dan video DSP umumnya tidak aktif secara otomatis melainkan jika pengguna tersebut memperbarui informasi berapa banyak ia login Facebook di berbagai tempat.

Baca Juga:  Pencipta Malware Berbahaya CyberSeal dan DataProtector Berhasil Ditangkap

Tanpa adanya interaksi dari pengguna, kesalahan yang mungkin terjadi adalah Session Description Protocol yang merupakan bagian WebRTC bisa menyetujui koneksi audio dan video dari WebRTC secara otomatis.

Namun, Natalie juga mengatakan bahwa terdapat jenis pesan yang tidak digunakan untuk pengaturan panggilan audio atau panggilan video. Pengaturan itu disebut SdpUpdate yang mengakibatkan setLocalDescription bekerja untuk melakukan pemanggilan.

Jika ini dieksploitasi oleh seseorang dan mengirimi pesan tersebut kepada korban disaat berdering yang akan terjadi adalah penyerang dapat memantau aktifitas dari korban melalui audio ataupun video.

Baca Juga:  Aplikasi GO-SMS Rentan Disusupi Hacker

Natalie juga membagikan bagaimana bug ini dapat dijalankan. Berikut adalah hasil tulisan yang sudah ia tulis.

  1. Silahkan masukkan akun Facebook di perangkat penyerang
  2. Silahkan masukkan akun Facebook di perangkat target
  3. Kedua akun tersebut adalah sama dan gunakan browser yang sama juga agar setLocalDescription bekerja dengan normal.
  4. Lakukan pemasangan alat bantu Frida dan Jalankan server Frida.
  5. Silahkan uji coba lakukan pemanggilan ke perangkat apapun dengan menggunakan perangkat penyerang. Agar library RTC terhubung dengan server Frida milik penyerang.
  6. Unduh dan Unzip sdp_update dan silahkan pindahkan ke folder lokal. Jalankan dengan perintah sebagai berikut:

    python2 modifyout.py "perangkat penyerang" (contoh Samsung J2 Prime).
      7.  Perintah diatas berguna untuk mendeteksi perangkat target.
      8.  Setelah berhasil, lakukan panggilan audio ke perangkat target.
      9.  Alhasil panggilan audio di perangkat target akan terdengar melalui perangkat penyerang.

Informasi penulisan kode sdp_update.zip bisa di Unduh: Disini

Temuan ini sudah dilaporkan sejak bulan Oktober (6/10/20) dan Facebook melakukan pembaruan pada Rabu  (17/11/20).


"Facebook dengan murah hati memberikan imbalan hadiah bug bounty sebesar $60.000 dan laporan ini merupakan penemuan bug dengan tingkat keamanan yang cukup tinggi berdasarkan dampaknya. Natalie Silvanovich akan menggunakan uang tersebut untuk disumbangkan kepada GiveWell sebagai bentuk bantuan kegiatan amal.

Anda mungkin menyukai postingan ini