A Facebook no le da tiempo a salir de una polémica de seguridad y ya está metida de lleno en otra, esta vez relacionada con la aplicación de Messenger. Pero en este caso la cuestión es todavía más peligrosa, ya que resulta que un experto en seguridad ha descubierto que espiar los mensajes de voz de Messenger es tan fácil como descargar un fichero MP4.
Cada vez que enviamos un mensaje de voz en un chat a través de la aplicación de Messenger, ese mensaje primero se sube en forma de un archivo .MP4 (es decir, un clip de audio) a los servidores de Facebook para que, después, tanto el emisor como el receptor puedan reproducirlo en sus móviles. El problema reside en que, si en el momento de enviar el mensaje hay alguien espiando nuestra conexión de WiFi, esa persona podrá descargarse -y escuchar- el mensaje de voz sin que el usuario sepa que está siendo espiado.
La cuestión, que ya de por sí es suficiente para poner en alerta a los más de 1.000 millones de usuarios de la aplicación, se torna todavía más peligrosa si tenemos en cuenta que no son precisamente pocos los usuarios que aprovechan redes WiFi públicas para chatear a través de Messenger. Basta con que haya alguien espiando alguna de estas redes para que todos nuestros mensajes de voz pasen a ser de dominio público.
El fallo de seguridad en los mensajes de audio en Messenger ha sido descubierto por Mohamed A. Baset, un experto en seguridad que ha revelado incluso los pasos exactos que habría que seguir para descargarse los mensajes de voz de cualquier persona que esté conectada a nuestra misma red WiFi.
Tal y como muestra este experto en el vídeo que él mismo ha publicado en YouTube, cada vez que enviamos un mensaje de audio a un contacto en Messenger se produce una subida de dicho mensaje a los servidores de Facebook. Hasta ahí, nada fuera de lo común.
El mensaje se sube en un archivo .MP4 que a partir de ese momento pasará a estar disponible en una URL con el formato “https: //z-1-cdn.fbsbx.com/[aquí iría nuestro mensaje de voz en forma de archivo de audio].mp4“, y el gran problema reside en que dicha URL no tiene ninguna seguridad frente a los atacantes. Si se copia y pega dicho enlace en el navegador, lo que se abrirá es nuestro mensaje de voz, todo ello sin haber tenido que introducir ninguna contraseña por el camino.
Tal y como explica Mohamed en una entrevista concedida a TheHackerNews.com, de nada sirve que el enlace en el que se esconde el mensaje de voz sea HTTPS; dado que no hay ninguna protección de por medio (la clave de acceso al fichero está dentro del propio enlace), basta con quitar la “S” de la URL para que el archivo de audio cargue a la primera.
Facebook ya está al corriente de este problema, pero hasta el día de hoy no ha distribuido todavía ningún parche que solucione este importante fallo en sus mensajes de voz. De momento, es recomendable que los usuarios de Messenger extremen las precauciones al utilizar la app en redes públicas de WiFi.
Fuente:https://computerhoy.com
Entusiasta de la seguridad cibernética. Especialista en seguridad de la información, actualmente trabajando como especialista en infraestructura de riesgos e investigador.
Experiencia en procesos de riesgo y control, soporte de auditoría de seguridad, diseño y soporte de COB (continuidad del negocio), gestión de grupos de trabajo y estándares de seguridad de la información.
Envía tips de noticias a info@noticiasseguridad.com o www.instagram.com/iicsorg/.
También puedes encontrarnos en Telegram www.t.me/noticiasciberseguridad