Error de Facebook Messenger permite espiar a los usuarios de Android

Facebook ha corregido un error en su aplicación Messenger para Android, ampliamente instalada, que podría haber permitido a un atacante remoto llamar a objetivos desprevenidos y escucharlos incluso antes de que contestaran la llamada de audio.

La falla fue descubierta y reportada a Facebook por Natalie Silvanovich del equipo de búsqueda de errores Project Zero de Google el mes pasado el 6 de octubre con un plazo de 90 días e impacta la versión 284.0.0.16.119 (y antes) de Facebook Messenger para Android.

En pocas palabras, la vulnerabilidad podría haber otorgado a un atacante que inició sesión en la aplicación para iniciar simultáneamente una llamada y enviar un mensaje especialmente diseñado a un objetivo que inició sesión tanto en la aplicación como en otro cliente de Messenger, como el navegador web. 

«Sería entonces desencadenar un escenario en el que, mientras que el dispositivo esté sonando, la persona que llama se iniciaría la recepción de audio o bien hasta que la persona que está siendo llamado conteste o la llamada agota,» de Facebook Seguridad Gerente de Ingeniería Dan Gurfinkel dijo .

Según un informe técnico de Silvanovich, la falla reside en el Protocolo de descripción de sesión ( SDP ) de WebRTC, que define un formato estandarizado para el intercambio de medios de transmisión entre dos puntos finales, lo que permite a un atacante enviar un tipo especial de mensaje conocido como » SdpUpdate «que haría que la llamada se conectara al dispositivo de la persona que llama antes de ser respondida.

Las llamadas de audio y video a través de WebRTC generalmente no transmiten audio hasta que el destinatario haya hecho clic en el botón aceptar, pero si este mensaje «SdpUpdate» se envía al otro dispositivo mientras está sonando, «hará que comience a transmitir audio de inmediato. lo que podría permitir a un atacante monitorear los alrededores de la persona que llama».

De alguna manera, la vulnerabilidad tiene similitudes con una falla que erosiona la privacidad que se informó en la función de chats grupales FaceTime de Apple el año pasado que hizo posible que los usuarios iniciaran una videollamada FaceTime y escucharan a escondidas a los objetivos agregando su propio número como tercera persona en un chat grupal incluso antes de que la persona del otro extremo aceptara la llamada entrante.