A maioria das pessoas odeia escrever mensagens longas enquanto conversa em aplicativos de mensagens. Mas graças ao recurso de gravação de voz fornecido pelo WhatsApp e Facebook Messenger, o que torna muito mais fácil para os usuários enviarem mensagens mais longas que geralmente incluem muito esforço de digitação.
Se você também tem o hábito de enviar uma gravação, em vez de digitar longas mensagens, para seus amigos no Facebook Messenger, você está suscetível a um simples ataque man-in-the-middle (MITM) que poderia vazar sua gravações.
O que mais preocupa é que o problema ainda não foi corrigido pelo gigante Facebook. O responsável pela descoberta foi o analista de segurança egípcio Mohamed A. Baset, que descobriu uma falha no recurso de gravação de áudio do Facebook Messenger que permitiria que qualquer ataque de man-in-the-middle capture seus arquivos de áudio do servidor do Facebook e escute suas mensagens de voz pessoais.
Sempre que você grava um áudio para enviá-lo ao seu amigo, a gravação é carregada no servidor CDN do Facebook (ou seja, https://z-1-cdn.fbsbx.com/…), de onde ele serve o mesmo arquivo de áudio, por HTTPS, tanto para o remetente como para o receptor.
Agora, qualquer pessoa presente em sua rede, executando o ataque MITM com SSL Strip, pode extrair links absolutos (incluindo o token de autenticação secreta incorporado na URL) a todos os arquivos de áudio trocados entre o remetente e o receptor durante esse processo.
Em seguida, a pessoa realiza algo conhecido como downgrade de protocolo, modificando os links absolutos de HTTPS para HTTP, permitindo a transferência desses arquivos de áudio sem precisar de qualquer autenticação.
Isso ocorre porque o servidor CDN do Facebook não impõe uma política HTTP Strict Transport Security (HSTS) que force os navegadores a se comunicarem com servidores somente por meio de conexões HTTPS e ajuda os sites a se protegerem contra ataques de downgrade de protocolo.
Em segundo lugar, a falta de autenticação adequada – Se um arquivo foi compartilhado entre dois usuários do Facebook, ele não deve ser acessível por ninguém exceto eles, mesmo se alguém tenha a URL absoluta para seu arquivo, que também inclui um token secreto para acessar esse arquivo.
Como exemplo, Mohamed enviou uma gravação para um de seus amigos no
Facebook Messenger e aqui está o
link absoluto para o arquivo extraído usando o ataque MITM, que qualquer pessoa pode baixar do servidor do Facebook, até mesmo você, sem qualquer autenticação.
Você pode assistir a demonstração no vídeo abaixo, que mostra esse ataque em ação.
Mohamed relatou o problema para o Facebook, e a empresa reconheceu o problema, mas ainda não o corrigiu. O Facebook não ofereceu nenhuma recompensa ao pesquisador pela descoberta da vulnerabilidade, já que os ataques de downgrade não estão incluídos no seu programa de recompensas.