Facebook corrigió un error en Messenger que permite a los atacantes espiar a otros

Facebook corrigió un error en su cliente Messenger para Android, que permitiría a un atacante escuchar los alrededores del objetivo, incluso sin su consentimiento..

Para explorar esto, ambas partes deben ser amigos en Facebook y uno debe iniciar una llamada de Messenger al otro. Luego, envía un mensaje personalizado para activar el error y escuchar a otras personas antes de interrumpir la llamada.

Error de Google Spots en Facebook Messenger

Natalie Silvanovich, un investigador de Google Project Zero, descubrió un error crítico de Facebook Messenger para Android que permitiría un usuario malintencionado para espiar los alrededores de su amigo, escuchando a través de una llamada de Messenger.

Para aprovechar el error, el atacante ya es amigo del objetivo en Facebook y debe iniciar una llamada a través de Messenger. Requiere que el atacante envíe un mensaje personalizado llamado SdpUpdate, que le permite escuchar los sonidos del entorno del objetivo, incluso antes de aceptar la llamada.

Silvanovich explicó cómo “el receptor no transmite audio hasta que el usuario haya dado su consentimiento para aceptar la llamada, lo cual se implementa al no llamar a setLocalDescription hasta que el receptor haya hecho clic en el botón aceptar o configurado las descripciones de medios de audio y video en el SDP local como inactivo y actualizándolo cuando el usuario hace clic en el botón. «

Esta el problema se encontró en Facebook Messenger v284.0.0.16.119, que ahora está corregido por Facebook a partir de una actualización del lado del servidor. Incluso hay un código de escaneo de prueba de concepto establecido por los investigadores para reproducir el escenario de seguimiento de errores del Proyecto Cero.

Como lo describió el investigador, el código PoC pasa por los siguientes pasos para explorar el error;

  1. Espera a que se envíe la oferta y guarda la oferta sdpThrift field
  2. Envíe un mensaje SdpUpdate con este sdpThift al destino
  3. Envía un mensaje SdpAnswer falso al * intruso * para que el dispositivo crea que la llamada ha sido respondida y reproduce el audio entrante.

Facebook explicado que el atacante que pretendía hacer esto ya debe ser amigo del objetivo y realizar ingeniería inversa en su Messenger para configurar su dispositivo para engañar al dispositivo del objetivo.

Recompensó al investigador con una recompensa de $ 60,000, Desde «refleja su máximo impacto potencial,» dicho Dan Gurfinkel, Gerente de ingeniería de seguridad de Facebook.