メッセンジャー内のビデオや音声通話を盗み聞きされるバグが発見 バウンティプログラムの現状は
先日、Android向けのFacebookアプリのメッセンジャー内で、攻撃者がビデオや音声電話をかけることで、応答までの間の音声にアクセスできるバグが発見され、修正されたと、FacebookとGoogle Project Zeroが発表した。
これはFacebookの今までの脆弱性の中でもトップ入りする大きな問題とされた。「SdpUpdate」という特殊なメッセージファイルをユーザーに送った後、電話をかけることで応答前に相手のマイクにアクセスし、周りの音を盗み聞きできるという欠陥だ。
通常の設定だと、相手が応答するまで音声データを発信することはない。今回のバグが機能するには、すでに電話をかける側が相手に電話をかけられるポジションにある必要があった(すでに友達である場合や設定でオープンにメッセージを受け付けている場合など)。また、攻撃側から特殊メッセージを強制的に送信できるようメッセンジャーをリバース・エンジニアリングする必要がある。しかし、このようにステップがシンプルであり簡単にユーザーのプライベートにアクセスできる欠陥であることから重大なバグとして対処された。
Project Zeroとは
今回のバグを発見したNatalie Silvanovichは、2014 年に設立されたProject Zeroの一員だ。Project ZeroはGoogle内のセキュリティリサーチャーたちのプロジェクトであらゆるテックのハードウェアからソフトウェア内にある脆弱性を発見し、ユーザーの安全とセキュリティを守るために活動している。これらの脆弱性は利益目的のハッカーたちだけではなく政府や公的機関の諜報活動のターゲットとしても狙われることが多い。
このプロジェクトは過去にもApple iOS、OSX、Safari内の6つのバグの発見やマイクロソフト、GoogleのChromeなどあらゆるテック大企業たちの脆弱性発見に貢献している。プロジェクトのポリシーは発見から90日以内にバグ修正の改善を該当企業に求め、実行後にバグの詳細をProject Zeroのブログに公開するというものだ。
これは企業の説明責任を尊重と信頼を示しおり、実際、今日までに発見されたバグのうち97.4%がこの90日以内のタイムライン内にバグ修正を行なっている。今回のメッセンジャーのバグはサーバー側のバグ修正と追加セキュリティをFacebookの保有するすべてのアプリに適用することで解決した。これらもすべて発見から90日以内に修正されている。