Các lỗ hổng không yêu cầu bất kỳ tương tác nào từ nạn nhân chính là những lỗ hổng nguy hiểm nhất. Trong trường hợp này, tin tặc có thể nhận được dữ liệu âm thanh cho đến khi người nhận cuộc gọi trả lời hoặc cuộc gọi hết thời gian. Nó cũng cho phép gửi một tin nhắn tùy chỉnh bằng cách sử dụng một số công cụ dịch ngược. May mắn thay, vẫn cần một số điều kiện để có thể khai thác lỗ hổng này.

Facebook cho biết: “Để khai thác lỗ hổng này, kẻ tấn công sẽ phải có quyền gọi một người cụ thể nào đó bằng cách vượt qua một số yêu cầu cần thiết như trở thành bạn bè trên Facebook”.

Nhà nghiên cứu Natalie Silvanovich đã công bố thông tin chi tiết về lỗ hổng, bao gồm bằng chứng khái niệm và quy trình chính xác để kẻ tấn công thực hiện xâm nhập. Các nhà nghiên cứu cũng chia sẻ thêm, có một loại thông báo không được sử dụng để thiết lập cuộc gọi, có tên là SdpUpdate, khiến phương thức setLocalDescription bị gọi ngay lập tức. Nếu thông báo này được gửi đến thiết bị được gọi trong khi đang đổ chuông, nó sẽ khiến thiết bị truyền âm thanh ngay lập tức, điều này có thể cho phép tin tặc theo dõi môi trường xung quanh của thiết bị được gọi.

Bằng chứng khái niệm đã được thử nghiệm trên phiên bản 284.0.0.16.119 của Facebook Messenger trên Android. Facebook đã nhận được thời hạn công khai lỗ hổng trong 90 ngày và họ đã phát hành bản cập nhật cho ứng dụng trước khi thông tin chi tiết được công khai.

Facebook cho biết, sau khi khắc phục được lỗ hổng từ phía máy chủ, các nhà nghiên cứu bảo mật của họ đã áp dụng các biện pháp bảo vệ bổ sung để chống lại sự cố này trên các ứng dụng sử dụng cùng một giao thức gọi 1:1. Tiền thưởng của lỗ hổng này nằm trong số ba khoản tiền thưởng lỗ hổng cao nhất là 60.000 USD, thể hiện mức độ ảnh hưởng tối đa tiềm tàng của nó.