El error en el Facebook Messenger para Android permitía escuchar a los usuarios
Last Updated on diciembre 16, 2022 by Daniel Cepeda
La especialista del Proyecto Cero de Google, Natalie Silvanovich, descubrió un peligroso error en el Facebook Messenger para Android, por el que la red social le pagó 60.000 dólares. El problema permitió al atacante hacer llamadas de audio y conectarse a las llamadas ya activas sin el conocimiento de los abonados.
En su informe, la especialista escribe que el problema estaba relacionado con el trabajo del pinchazo de WebRTC, que Messenger utiliza para las llamadas de audio y vídeo, a saber, su parte – Protocolo de Descripción de la Sesión (SDP).
El especialista informó del problema a los desarrolladores de Facebook el mes pasado, y ahora la vulnerabilidad ha sido corregida.
Este protocolo maneja los datos de sesión para las conexiones de WebRTC, y Silvanovic descubrió que se puede abusar de los mensajes SDP obteniendo la aprobación automática para una conexión de WebRTC sin ninguna interacción del usuario. Sin embargo, el ataque sólo toma unos segundos.
Por lo general, la señal de audio se transmite sólo si el usuario acepta la llamada haciendo clic en el botón de respuesta (en ese momento se llama setLocalDescription).
Si se envía un mensaje de este tipo al dispositivo llamado durante la llamada, éste comenzará inmediatamente a transmitir audio [incluso si la llamada real no fue respondida], es decir, permitirá a un intruso vigilar el entorno de la persona llamada
En Twitter, Silvanovich dijo que por encontrar este error, se le pagaron 60.000 dólares como parte del programa bug bounty, y este dinero el investigador lo donará a la organización benéfica GiveWell, y Facebook por su parte duplicará la cantidad de la donación.
Facebook generously awarded a bounty of $60,000 for this bug, which I’m donating to the @GiveWell Maximum Impact Fund https://t.co/JvZt9Fw4nx
— Natalie Silvanovich (@natashenka) November 19, 2020
Este error se ha convertido así en una de las vulnerabilidades mejor pagadas en la historia de Facebook, y los ingenieros de la compañía señalan que el “costo” de la vulnerabilidad en este caso es directamente proporcional a su potencial peligro.