Facebook ha solucionado un error en la aplicación de mensajería Facebook Messenger para Android que permitía a quienes llamaban a través de la app escuchar el entorno de otros usuarios sin permiso antes de que estos contestaran a la llamada.
Los atacantes podrían haber aprovechado este error enviando un tipo especial de mensaje conocido como SdpUpdate que haría que la llamada se conectara al dispositivo del destinatario antes de que esta fuera contestada.
“Si este mensaje se envía al dispositivo del destinatario de la llamada mientras está sonando, hará que comience a transmitir audio de inmediato, lo que podría permitir a un atacante monitorear el entorno del destinatario de la llamada”, explica Natalie Silvanovich, investigadora que forma parte de Project Zero, un equipo de analistas de seguridad de Google encargados de encontrar ataques de día cero.
Silvanovich encontró el problema en la versión 284.0.0.16.119 de Facebook Messenger para Android el mes pasado. El investigador también proporciona código de explotación de prueba de concepto (PoC) basado en Python para reproducir el problema
El error podía ser explotado por tu “amigos”.
Según Facebook , este error “podría haber permitido que un atacante que haya iniciado sesión en Messenger para Android inicie simultáneamente una llamada y envíe un tipo de mensaje no deseado a alguien que haya iniciado sesión en Messenger para Android y otro cliente de Messenger (es decir, navegador web)”.
“Entonces desencadenaría un escenario en el que, mientras el dispositivo suena, la persona que llama comenzaría a recibir audio hasta que la persona a la que se llama responda o la llamada se agote.
“Para aprovechar este problema, un atacante ya debería tener los permisos para llamar a esta persona en particular sin pasar por ciertos controles de elegibilidad (por ejemplo, ser amigos en Facebook). También necesitaría usar herramientas de ingeniería inversa para manipular su propia aplicación Messenger para forzar para enviar un mensaje personalizado “.
Error con recompensa.
Después de de corregir el error reportado por Project Zero en el servidor, Facebook ha aplicado protecciones adicionales en otras aplicaciones que usan el mismo protocolo para realizar llamadas 1:1.
Además, y como parte de su programa de Bug Bounty, la red social ha recompensado a Silvanovich con 60.000 dólares por localizar y reportar este error de Messenger para Android.
___________________________________
Recordaros que podéis seguirnos en nuestro Twitter, Instagram y Telegram.
Si te gusta la labor que realizamos a diario…
Autor.
