Facebook anunció la corrección de una falla en la app de Messenger para dispositivos Android que habría permitido a los actores de amenazas remotos llamar a usuarios desprevenidos y escuchar sus conversaciones, incluso antes de que las víctimas aceptaran la llamada. La falla fue reportada por Natalie Silvanovich, de Google Project Zero.
Un ataque exitoso podría haber permitido a un atacante con sesión iniciada iniciar una llamada y enviar mensajes a un usuario objetivo: “Esto desencadenaría un escenario en el que, si un dispositivo recibe una llamada, el atacante comenzará a escuchar a la víctima hasta que la llamada sea contestada o se agote”, menciona el reporte.
La falla reside en el Protocolo de Descripción de Sesión (SDP) de WebRTC, que define un formato estandarizado para el intercambio de medios de transmisión entre dos endpoints, lo que permite a un atacante enviar un tipo especial de mensaje conocido como “SdpUpdate”, que haría que la llamada se conectara al dispositivo de la persona que llama antes de ser respondida.
Por otra parte, aunque las llamadas WebRTC no reciben datos (audio y video) hasta que el usuario la acepta, ésta se envía a otro dispositivo desviando el audio de la llamada al segundo dispositivo.
De alguna manera, la vulnerabilidad tiene similitudes con una falla que compromete la privacidad de los usuarios de Apple FaceTime, que generaba un escenario idéntico en llamadas grupales y que fue corregida el año pasado. Este error fue tan severo que Apple decidió eliminar completamente las llamadas grupales en FaceTime en una de sus actualizaciones de iOS. Tal vez la principal diferencia radica en que la falla en FaceTime era increíblemente fácil de explotar, mientras que la falla en Facebook Messenger requiere de que se presenten múltiples supuestos para completar un ataque.
La investigadora recibió 60 mil dólares a través del programa de recompensas de Facebook, además de reportar otras tres fallas en el código de la red social.
Trabajando como arquitecto de soluciones de ciberseguridad, Alisa se enfoca en la protección de datos y la seguridad de datos empresariales. Antes de unirse a nosotros, ocupó varios puestos de investigador de ciberseguridad dentro de una variedad de empresas de seguridad cibernética. También tiene experiencia en diferentes industrias como finanzas, salud médica y reconocimiento facial.
Envía tips de noticias a info@noticiasseguridad.com o www.instagram.com/iicsorg/
También puedes encontrarnos en Telegram www.t.me/noticiasciberseguridad