Ứng dụng Messenger trên nền tảng Android đã tồn tại một lỗi bảo mật nghiêm trọng, cho phép người thực hiện cuộc gọi nghe được âm thanh của môi trường xung quanh của người dùng khác mà không được phép trước khi người ở đầu dây bên kia bắt máy.
Những kẻ tấn công có thể đã khai thác lỗi này bằng cách gửi một loại thông báo đặc biệt được gọi là SdpUpdate sẽ khiến cuộc gọi kết nối với thiết bị của người điều khiển trước khi nó được trả lời. Theo Natalie Silvanovich, một nhà nghiên cứu thuộc nhóm Google's Project Zero bug-hunting, cho biết: “Nếu thông báo này được gửi đến thiết bị của đối tượng bị tấn công trong khi nó đang đổ chuông, nó sẽ khiến thiết bị nghe được âm thanh xung quanh ngay lập tức giống như người ở đầu dây bên kia đã nhấc máy. Và việc nghe lén trở nên dễ dàng hơn bao giờ hết”. Lỗ hổng được tìm thấy ở phiên bản 284.0.0.16.119 của Messenger.
Về phía Facebook, công ty đã ghi nhận lỗi và đưa ra lời cảnh báo rằng tin tặc có thể lợi dụng lỗ hổng này để tấn công những người có trong danh sách bạn bè của chúng. Sau khi sửa lỗi, các nhà nghiên cứu bảo mật của Facebook đã áp dụng các biện pháp bảo vệ bổ sung trên các ứng dụng khác sử dụng cùng một giao thức cho cuộc gọi 1:1. Facebook đã thưởng cho Silvanovich 60.000 USD tiền thưởng vì đã tìm ra và thông báo lỗ hổng này của Messenger.
Hơn 50.000 nhà nghiên cứu đã tham gia chương trình tìm kiếm lỗi của Facebook để nhận tiền thưởng và khoảng 6.900 trong số họ đã được thưởng sau khi gửi hơn 130.000 báo cáo về lỗ hổng bảo mật kể từ năm 2011. Riêng năm nay, Facebook cho biết hơn 1,98 triệu USD đã được trao cho các nhà nghiên cứu từ hơn 50 quốc gia đã báo cáo hơn 1.000 lỗ hổng bảo mật.