in

Bug do Facebook Messenger pode ter permitido que hackers espionassem usuários

A vulnerabilidade foi descoberta durante uma auditoria de segurança.

O Facebook corrigiu um bug de segurança em seu aplicativo Messenger para Android que poderia permitir que invasores fizessem chamadas de áudio sem o conhecimento ou interação do receptor.

A vulnerabilidade foi descoberta durante uma auditoria de segurança por Natalie Silvanovich, uma pesquisadora de segurança do Project Zero do Google. Em um relatório, Silvanovich disse que o bug residia no protocolo WebRTC que o Messenger está usando para suportar chamadas de áudio e vídeo.

Bug do Facebook Messenger

Mais especificamente, Silvanovich disse que o problema residia no Protocolo de Descrição de Sessão (SDP), parte do WebRTC. Este protocolo lida com dados de sessão para conexões WebRTC; Silvanovich descobriu que uma mensagem SDP poderia ser usada para aprovar automaticamente conexões WebRTC sem interação do usuário.

Bug do Facebook Messenger pode ter permitido que hackers espionassem usuários
Silvanovich disse que o bug residia no protocolo WebRTC que o Messenger está usando para suportar chamadas de áudio e vídeo. Imagem: WebRTC.

Silvanovich explicou:

Se a mensagem [SdpUpdate] for enviada para o dispositivo do receptor enquanto estiver tocando, isso fará com que ele comece a transmitir o áudio imediatamente, o que pode permitir que um invasor monitore os arredores do receptor.

Explorar o bug leva alguns segundos, de acordo com o relatório. Silvanovich relatou o problema ao Facebook no mês passado; a gigante de mídia social corrigiu o problema em uma atualização de seu aplicativo Messenger para Android.

O Facebook disse:

Este relatório está entre nossas três maiores recompensas por bugs, US$ 60.000, o que reflete seu impacto potencial.

Em uma mensagem no Twitter, Silvanovich disse que o Facebook concedeu a ela uma recompensa por bug de US$ 60.000 por relatar o problema, que ela decidiu doar para a GiveWell, uma organização sem fins lucrativos que coordena atividades de caridade.

Em anos anteriores, Silvanovich também encontrou e relatou problemas semelhantes em outros aplicativos de mensagens instantâneas, uma de suas áreas de especialização.

ZDNET

Garoto de 14 anos ganha R$140 mil do Facebook após descobrir falha de segurança no Instagram

Serviço de jogos em nuvem Facebook Gaming agora é oficial

Facebook ameaça universidade para encerrar pesquisa sobre anúncios políticos