Bug do Facebook Messenger pode ter permitido que hackers espionassem usuários

chamadas-do-messenger-e-dms-do-instagram-terao-criptografia-de-ponta-a-ponta
chamadas-do-messenger-e-dms-do-instagram-terao-criptografia-de-ponta-a-ponta

O Facebook corrigiu um bug de segurança em seu aplicativo Messenger para Android que poderia permitir que invasores fizessem chamadas de áudio sem o conhecimento ou interação do receptor.

A vulnerabilidade foi descoberta durante uma auditoria de segurança por Natalie Silvanovich, uma pesquisadora de segurança do Project Zero do Google. Em um relatório, Silvanovich disse que o bug residia no protocolo WebRTC que o Messenger está usando para suportar chamadas de áudio e vídeo.

Bug do Facebook Messenger

Mais especificamente, Silvanovich disse que o problema residia no Protocolo de Descrição de Sessão (SDP), parte do WebRTC. Este protocolo lida com dados de sessão para conexões WebRTC; Silvanovich descobriu que uma mensagem SDP poderia ser usada para aprovar automaticamente conexões WebRTC sem interação do usuário.

Silvanovich disse que o bug residia no protocolo WebRTC que o Messenger está usando para suportar chamadas de áudio e vídeo. Imagem: WebRTC.

Silvanovich explicou:

Se a mensagem [SdpUpdate] for enviada para o dispositivo do receptor enquanto estiver tocando, isso fará com que ele comece a transmitir o áudio imediatamente, o que pode permitir que um invasor monitore os arredores do receptor.

Explorar o bug leva alguns segundos, de acordo com o relatório. Silvanovich relatou o problema ao Facebook no mês passado; a gigante de mídia social corrigiu o problema em uma atualização de seu aplicativo Messenger para Android.

O Facebook disse:

Este relatório está entre nossas três maiores recompensas por bugs, US$ 60.000, o que reflete seu impacto potencial.

Em uma mensagem no Twitter, Silvanovich disse que o Facebook concedeu a ela uma recompensa por bug de US$ 60.000 por relatar o problema, que ela decidiu doar para a GiveWell, uma organização sem fins lucrativos que coordena atividades de caridade.

Em anos anteriores, Silvanovich também encontrou e relatou problemas semelhantes em outros aplicativos de mensagens instantâneas, uma de suas áreas de especialização.

ZDNET

Garoto de 14 anos ganha R$140 mil do Facebook após descobrir falha de segurança no Instagram

Serviço de jogos em nuvem Facebook Gaming agora é oficial

Facebook ameaça universidade para encerrar pesquisa sobre anúncios políticos

Acesse a versão completa
Sair da versão mobile