Popular
Apple corrige la vulnerabilidad doorLock en HomeKit que permitía ataques DoS en iPhone y iPad
HomeNoticiasEl error en el Facebook Messenger para Android permitía escuchar a los usuarios

El error en el Facebook Messenger para Android permitía escuchar a los usuarios

Last Updated on diciembre 16, 2022 by Daniel Cepeda

La especialista del Proyecto Cero de Google, Natalie Silvanovich, descubrió un peligroso error en el Facebook Messenger para Android, por el que la red social le pagó 60.000 dólares. El problema permitió al atacante hacer llamadas de audio y conectarse a las llamadas ya activas sin el conocimiento de los abonados.

En su informe, la especialista escribe que el problema estaba relacionado con el trabajo del pinchazo de WebRTC, que Messenger utiliza para las llamadas de audio y vídeo, a saber, su parte – Protocolo de Descripción de la Sesión (SDP).

El especialista informó del problema a los desarrolladores de Facebook el mes pasado, y ahora la vulnerabilidad ha sido corregida.

Este protocolo maneja los datos de sesión para las conexiones de WebRTC, y Silvanovic descubrió que se puede abusar de los mensajes SDP obteniendo la aprobación automática para una conexión de WebRTC sin ninguna interacción del usuario. Sin embargo, el ataque sólo toma unos segundos.

Por lo general, la señal de audio se transmite sólo si el usuario acepta la llamada haciendo clic en el botón de respuesta (en ese momento se llama setLocalDescription).

Natalie Silvanovich
Natalie Silvanovich
Hay tipos de mensajes que no se usan para establecer conexiones, esto es SdpUpdate. Pero SdpUpdate dispara una llamada inmediata a setLocalDescription.

Si se envía un mensaje de este tipo al dispositivo llamado durante la llamada, éste comenzará inmediatamente a transmitir audio [incluso si la llamada real no fue respondida], es decir, permitirá a un intruso vigilar el entorno de la persona llamada

En Twitter, Silvanovich dijo que por encontrar este error, se le pagaron 60.000 dólares como parte del programa bug bounty, y este dinero el investigador lo donará a la organización benéfica GiveWell, y Facebook por su parte duplicará la cantidad de la donación.

Este error se ha convertido así en una de las vulnerabilidades mejor pagadas en la historia de Facebook, y los ingenieros de la compañía señalan que el “costo” de la vulnerabilidad en este caso es directamente proporcional a su potencial peligro.

¿Te gustaría encontrar a Bug en Facebook Messenger y obtener 60.000 dólares?
Sí.No.
Anteriormente
NoticiasAndroid 11: ¡Todo lo que necesitas saber!
Siguiente
NoticiasLas vulnerabilidades de TikTok te permitieron capturar la cuenta de otra persona con un solo clic
Malas.
0
Bien.
1
Genial.
3
FlexiSPY anuncia el iPhone EXTREME Weekly
Noticias
FlexiSPY anuncia el iPhone EXTREME Weekly
Leer más
Nuevas características de FlexISPY Google Message Tracking.
Noticias
Nuevas características de FlexISPY Google Message Tracking.
Leer más
39 vulnerabilidades por aplicación Android de media
Noticias
39 vulnerabilidades por aplicación Android de media
Leer más
Añade un comentario

© 2018–2023 – Un portal de información sobre como espiar un telefono

SOFTWARE DESTINADO ÚNICAMENTE A UN USO LEGAL. Es una violación de la ley aplicable y de las leyes de su jurisdicción local el instalar el Software Autorizado en un dispositivo que no es de su propiedad.