Facebook behebt schwerwiegenden Bug in Android-Messenger-App

20.11.2020 15:08 Uhr Lurker

Facebook behebt Bug: Unautorisiertes Abhören war möglich

Was entdeckt wurde

Eine schwerwiegende Schwachstelle in der Android-Version des Messenger-Dienstes von Facebook wurde behoben. Ein Angreifer hätte theoretisch aus der Ferne Audioverbindungen starten können, ohne dass die Zielperson den Anruf aktiv nimmt an hätte. Die Lücke trat durch eine fehlerhafte Verarbeitung von Signalisierungsdaten im WebRTC-Protokoll auf.

Technischer Hintergrund

WebRTC dient der Abwicklung von Audio- und Videoanrufen. Zentral ist das Session Description Protocol (SDP), das Verbindungsdaten regelt. In der betroffenen Implementierung konnte eine spezielle SDP-Nachricht den Verbindungsaufbau automatisiert auslösen. Dadurch könnte ein Angreifer eine Umgebung des Zielgeräts beaufsichtigen, während das eigentliche Telefonzeichen noch klingelte.

„Es gibt einen Nachrichtentyp der nicht für den Verbindungsaufbau nutzt wird. Wenn diese Nachricht an das Gerät des Angerufenen gesendet wird während es klingelt veranlasst sie es dazu, sofort mit der Audioübertragung zu beginnen.“

Patch und betroffene Versionen

Facebook schloss die Lücke zeitnah per Update der Android-Messenger-App. Betroffen war Version 284․0․0.16.119 gleichermaßen frühere Iterationen. Das Unternehmen bestätigte die Behebung des Problems in einem Update des Messenger-Ders.

Auswirkungen und Nutzungsvoraussetzungen

Angreifer muss schon Berechtigungen besitzen die Zielperson zu kontaktieren (zum Exempel Freundschaft in Facebook).
Reverse-Engineering-Werkzeuge sind notwendig um die eigene Messenger-App zu modifizieren.
Eine speziell manipulierte Nachricht muss an das Zielgerät gesendet werden, während es klingelt.
Damit startet die Audioübertragung umgehend, ohne dass der Nutzer aktiv auf den Anruf reagieren muss.

Bug-Bounty und finanzielle Belohnung

Der gemeldete Fall floss in Facebooks Bug-Bounty-Programm. Die Meldung erhielt eine Preisempfehlung von 60․000 US-Dollar. Die Sicherheitsforscherin plante die Prämie an GiveWell zu spenden, eine wohltätige Organisation. Die Entdeckung reiht sich in eine Serie ähnlicher Befunde ein die ebenfalls andere Messaging-Apps betreffen haben. Die betroffenen Systeme wurden daraufhin gepatcht.

Hintergrund zum Bug-Bounty-Programm

Facebook betreibt das Programm seit 2011. Externe Forscher tragen zur Verbesserung von Sicherheit und Privatsphäre bei. Über die Jahre haben sich ergänzend als 50․000 Teilnehmer dem Programm angeschlossen. Rund 1․500 Forscher aus 107 Ländern erhielten bereits Belohnungen für entdeckte Lücken.

Zuletzt aktualisiert am 20.02.2026 08:17 Uhr

Kommentare

Ähnliche News

Android-Update: Google behebt Lautstärke-Bug und schließt 42 Sicherheitslücken

Mit dem neuen Android-Sicherheitsupdate für den August behebt Google den Lautstärke-Bug auf dem Nexus 5 der die Telefonfunktion einschränkt. Insgesamt werden 42 Sicherheitslücken geschlossen von denen acht als kritisch eingestuft wurden.

iOS 11.2.6: iPhone-Update behebt Telugu-Bug

Vergangene Woche wurde der "Telugu-Bug" bekannt über den das iPhone das iPad und der Mac mit einer Nachricht zum Absturz gebracht werden konnten. Jetzt behebt Apple den Fehler mit einem Update für iOS watchOS und macOS.

Automatische Anrufannahme bei Signal-App auf Android birgt Sicherheitsrisiko

Großer Lausch-Anruf: Signal für Android nimmt selbsttätig Anrufe an

Die Signal-App für Android weist eine Schwachstelle auf die dazu führt dass Sprachanrufe automatisch angenommen werden ohne dass der Nutzer dies aktiv bestätigen muss. Ein potenziell böswilliger Anrufer könnte folglich unbemerkt das Opfer belauschen.

Update für LG G3 behebt Abschalt-Bug

Nach der schwachen Akku-Laufzeit des G3 behebt LG Electronics per Wartungs-Update ebenfalls den Abschalt-Bug der auf einigen verkauften Geräten des aktuellen Spitzen-Smartphones auftritt.

Kritische Sicherheitslücken bei vorinstallierten Samsung-Apps entdeckt

Kritische Sicherheitslücken in vorinstallierten Apps von Samsung

Hintergrund und Entdeckung Die Schwachstellen wurden von Sergey Toshin, Gründer des IT-Security-Unternehmens Oversecured, in einem Blogbeitrag dokumentiert. Betroffen sind vorinstallierte Android-Apps von Samsung.