臉書修補Messenger上可遭竊聽的安全漏洞

臉書在本周公布了自2011年執行抓漏獎勵專案（Bug Bounty Program）以來10年的成果，意外揭露了一個藏匿在Messenger上的安全漏洞，當使用者利用Messenger撥電話給另一個用戶時，就算對方尚未接聽，使用者就能聽到對方的聲音。該漏洞是由Google Project Zero團隊成員Natalie Silvanovich所提報，而且獲得了6萬美元的高額獎金。

根據臉書的統計，這10年來全球總計有超過5萭名研究人員加入該公司的抓漏獎勵專案，提交了逾13萬份漏洞報告，並有來自107個國家的約1,500名研究人員所提交的6,900份報告獲得獎金，取得最多獎金的國家依序是印度、突尼西亞及美國。

此外，今年以來已收到1.7萬份漏洞報告，當中有超過1,000份取得了總計198萬美元的獎金。臉書也公布了今年獲頒獎金最高的兩個安全漏洞，一是由安全研究人員Selamet Hariyanto所揭露的內容遞送網路（Content Delivery Network，CDN）漏洞，此一CDN是一個由臉書全球多個伺服器所組成的網路，可供應內容予臉書的全球用戶，Hariyanto發現，他能夠存取已被列為過期之CDN網址的子集。

這理應只是個小漏洞，但臉書內部的研究人員在修補時發現，該漏洞在極少數的狀況下有可能擴張成遠端程式攻擊，因而頒給Hariyanto高達8萬美元的獎金。

第二個高額獎金則是由Google Project Zero團隊成員Natalie Silvanovich取得。Silvanovich提報的是一個藏匿在Messenger上的漏洞，登入Messenger的駭客撥電話給受害者時，只要同時傳送一個客製化的訊息，且受害者同時開啟了Android上的Messenger與另一個同帳號的Messenger（例如網頁版），即使對方未接聽，也能在響鈴時聽到對方的聲音。Silvanovich也因該漏洞獲頒了6萬美元的獎金。

Silvanovich是在今年10月7日提交此一漏洞，原本預計會在90天之後，也就是明年的1月4日才公開漏洞細節，但隨著臉書已修補並揭露，其技術細節與概念性驗證亦跟著曝光。