脸书修补Messenger上可遭窃听的安全漏洞

脸书在本周公布了自2011年执行抓漏奖励专案（Bug Bounty Program）以来10年的成果，意外揭露了一个藏匿在Messenger上的安全漏洞，当使用者利用Messenger拨电话给另一个用户时，就算对方尚未接听，使用者就能听到对方的声音。该漏洞是由Google Project Zero团队成员Natalie Silvanovich所提报，而且获得了6万美元的高额奖金。

根据脸书的统计，这10年来全球总计有超过5萭名研究人员加入该公司的抓漏奖励专案，提交了逾13万份漏洞报告，并有来自107个国家的约1,500名研究人员所提交的6,900份报告获得奖金，取得最多奖金的国家依序是印度、突尼斯及美国。

此外，今年以来已收到1.7万份漏洞报告，当中有超过1,000份取得了总计198万美元的奖金。脸书也公布了今年获颁奖金最高的两个安全漏洞，一是由安全研究人员Selamet Hariyanto所揭露的内容递送网络（Content Delivery Network，CDN）漏洞，此一CDN是一个由脸书全球多个服务器所组成的网络，可供应内容予脸书的全球用户，Hariyanto发现，他能够存取已被列为过期之CDN网址的子集。

这理应只是个小漏洞，但脸书内部的研究人员在修补时发现，该漏洞在极少数的状况下有可能扩张成远端程式攻击，因而颁给Hariyanto高达8万美元的奖金。

第二个高额奖金则是由Google Project Zero团队成员Natalie Silvanovich取得。Silvanovich提报的是一个藏匿在Messenger上的漏洞，登入Messenger的骇客拨电话给受害者时，只要同时传送一个客制化的讯息，且受害者同时开启了Android上的Messenger与另一个同账号的Messenger（例如网页版），即使对方未接听，也能在响铃时听到对方的声音。Silvanovich也因该漏洞获颁了6万美元的奖金。

Silvanovich是在今年10月7日提交此一漏洞，原本预计会在90天之后，也就是明年的1月4日才公开漏洞细节，但随着脸书已修补并揭露，其技术细节与概念性验证亦跟着曝光。