หลายท่านมักรำคาญที่จะต้องกดพิมพ์ข้อความยาวๆ เวลาใช้แอพส่งข้อความต่างๆ ทำให้ฟีเจอร์บันทึกเสียงบนแอพท็อปฮิตทั้งหลายได้รับความนิยมเป็นอย่างมาก แต่ถ้าเป็นการส่งข้อความเสียงผ่าน Facebook Messenger ในช่วงนี้ อาจเสี่ยงต่อการโดนโจมตีแบบ Man-In-The-Middle (MITM)
ที่ให้แฮ็กเกอร์แอบฟังคลิปเสียงส่วนตัวของคุณได้อย่างง่ายดาย ซึ่งปัจจุบันยังไม่มีแพทช์ออกมาอุดช่องโหว่นี้
นักวิจัยด้านความปลอดภัยชาวอิยิปต์ Mohamed A. Baset ได้รายงานสำนักข่าว The Hacker News เกี่ยวกับช่องโหว่ดังกล่าว โดยการดูดลิงค์คลิปเสียงบนเซิร์ฟเวอร์ของเฟซบุ๊กระหว่างการแอบส่องทราฟิกเข้าออก ซึ่งลิงค์นั้นมี Token สำหรับยืนยันตนเรียบร้อย จากนั้นก็นำลิงค์ดังกล่าวไปดาวน์โหลดคลิปเสียงที่ต้องการได้โดยไม่ต้องใช้รหัสผ่านอะไรเลย
https://www.youtube.com/watch?v=0A6FiApDKQg
สาเหตุของช่องโหว่นี้ เนื่องจากเซิร์ฟเวอร์ CDN ของเฟซบุ๊กไม่ได้ใช้โพลิซีที่เรียกว่า HTTP Strict Transport Security (HSTS) ที่บังคับให้บราวเซอร์หรือแอพสื่อสารกับเซิร์ฟเวอร์ผ่าน HTTPS เท่านั้น รวมถึงการยืนยันตนที่ยังไม่ปลอดภัย ที่ยังปล่อยให้บุคคลที่สามนอกจากคู่สนทนาเข้าถึงไฟล์ต่างๆ ที่คู่สนทนาแชร์ร่วมกันได้
Mohamed ได้รายงานบั๊กนี้ไปที่เฟซบุ๊กแล้ว แต่ปัจจุบันยังไม่มีการออกแพทช์มาอุดช่องโหว่นี้ อีกทั้งทางเฟซบุ๊กเองก็ยังไม่มีการตั้งรางวัลล่าค่าหัวให้กลุ่มนักวิจัยคอยตรวจสอบช่องโหว่ของตัวเองด้วย ทั้งนี้ทางทีม The Hacker News ได้มีการติดต่อเพื่อขอความเห็นในเรื่องนี้จากเฟซบุ๊กอีกครั้งด้วย
ที่มา : http://thehackernews.com/2017/01/facebook-video-recording-hack.html
