Tietoturvayhtiö Check Point havaitsi vaarallisen haavoittuvuuden Facebookin pikaviesteissä.
Tietoturvayhtiö kertoo löytäneensä Facebookin pikaviesteihin liittyvän tietoturva-aukon huhtikuusssa. Tietoturva-aukko mahdollisti pikaviestiliikenteen joutumisen kyberrikollisten käsiin. Viestejä olisi voitu esimerkiksi väärentää. Facebook on jo korjannut haavoittuvuuden.
Check Pointin viestinnästä vastaava viestintäkonsultti Maija Rauha kertoo MTV Digille, että tietoturva-aukko koski sekä Facebookin Messenger-sovellusta että pikaviestejä, joita lähetetään netti- tai mobiiliselaimen kautta.
Facebookin blogin mukaan haavoittuvuus koski vain Android-laitteita.
Check Pointilta kerrotaan myös, etteivät he tiedä varmuudella, että rikolliset olisivat hyödyntäneet tietoturva-aukkoa ennen kuin se ehdittiin poistamaan Facebookin toimesta. Mobiilin tietoturvan erikoistuntija Joakim Wilingin mukaan Facebook-haavoittuvuuden löytäminen on esimerkki siitä, että tietoturvan vaarantuminen älypuhelinten kautta on lisääntynyt voimakkaasti.
Pikaviestiominaisuutta kun käytetään nimenomaan puhelimilla, ja harvalla on puhelimessaan sen tasoista tietoturvaohjelmistoa, joka havaitsisi mahdolliset haavoittuvuuksien hyväksikäytöt.
Viestejä olisi voitu peukaloida
Check Point antoi tänään julkistetulle haavoittuvuudelle nimen Facebook Malicious Chat. Sen kautta oli mahdollista päästä käsiksi pikaviestien sisältöihin ja esimerkiksi muokata tai poistaa jo lähetettyjä tekstejä, kuvia, linkkejä ja liitetiedostoja.
Viestejä peukaloimalla olisi voinut esimerkiksi manipuloida viestien historiaa, poistaa aineistoa, jota olisi voitu käyttää jopa todisteena oikeudessa sekä levittää haittaohjelmia muuntamalla linkkejä toisiksi.
– Hyödyntämällä haavoittuvuutta krakkerit olisivat voineet peukaloida koko pikaviestiketjua uhrin huomaamatta. He olisivat myös voineet käynnistää automaattisia toimintoja, joiden havaitseminen olisi ollut vaikeaa. Facebook reagoi esimerkillisen nopeasti asettaen käyttäjien tietoturvan etusijalle, kommentoi Check Pointin Head of Products Vulnerability Research Oded Vanunu.
MTV Digi uutisoi vastikään, että Facebook-viestittely vaatii jatkossa myös mobiiliselainkäyttäjiltä erillisen Facebook Messenger -sovelluksen lataamisen.
Haavoittuvuuden tarkempi kuvaus löytyy Check Pointin blogista.
Lähde: Check Point
Juttuun lisätty 8.6. klo 7.35 haastateltavan kommentteja.