Facebook已在其Messenger for Android应用程序中解决了一个主要的安全问题，该问题可能已使威胁行为者通过放置和连接Messenger音频呼叫而没有他们的交互来监视用户。

该漏洞是由Google零项目团队的白帽黑客Natalie Silvanovich发现的。

该漏洞位于 WebRTC协议的 会话描述协议（SDP）中，该协议在Messenger应用中实现以支持音频和视频通话。

SDP协议处理WebRTC连接的会话数据，Silvanovich发现可以使用SDP消息来批准WebRTC连接，而无需任何用户交互。

“但是，有一种消息类型SdpUpdate不能用于呼叫建立，它会导致setLocalDescription立即被呼叫。如果此消息在响铃时发送到被呼叫方设备，它将导致其立即开始传输音频，这可能使攻击者可以监视被呼叫方的周围环境。” 

Silvanovich还发布了PoC代码，该代码已在Android的Facebook Messenger的284.0.0.16.119版上进行了测试。

该问题的发布截止日期为Google 90天，已于10月报告给Facebook，社交网络巨头于2020年11月17日解决了该问题。Facebook在2020年11月19日发布了其Messenger for Android应用的更新。

“这将触发一个场景，在设备响铃时，呼叫者将开始接收音频，直到被呼叫者应答或呼叫超时为止。要利用此问题，攻击者必须已经具有通过某些资格检查（例如，成为Facebook上的朋友）来呼叫此特定人员的权限。他们还需要使用逆向工程工具来操纵自己的Messenger应用程序，以强制其发送自定义消息。” 阅读Facebook发布的帖子。该公司还奖励了60,000美元的漏洞作为其漏洞赏金计划的一部分。

好消息是，Silvanovich是一个神话，并已选择捐赠支出，以善举，一个非营利性，协调各类慈善活动。

在2018年10月，Silvanovich在WhatsApp中发现了一个类似漏洞，攻击者可能仅通过拨打电话即可利用该漏洞使受害者的即时消息传递应用程序崩溃。该漏洞是内存堆溢出问题。