O Facebook corrigiu uma falha de segurança no aplicativo Messenger para Android que fazia com que terceiros pudessem se conectar ao áudio de uma chamada mesmo antes da vítima atender uma ligação.

Essa falha, descoberta por Natalie Silvanovich da equipe do Project Zero do Google, estava presente nas versões 284.0.0.16.119 e anteriores do aplicativo Facebook Messenger para Android.

Conforme o relatório sobre a vulnerabilidade, a pessoa que recebe uma ligação não transmite o áudio até decidir aceitá-la. Porém, essa falha, que está no protocolo WebRTC usado pelo Messenger para a transmissão de áudio e vídeo entre dois dispositivos, poderia permitir que um atacante enviasse um tipo de mensagem simultaneamente à chamada - que não é usada para ligações -, conhecida como SdpUpdate, que faz com que o dispositivo da vítima comece a transmitir áudio durante a chamada e que o atacante escute o áudio transmitido pelo ambiente sem que a vítima saiba. Essa falha dura até que a vítima atenda ou rejeite a ligação.

Para explorar essa falha, o atacante e a vítima devem estar logados no Facebook Messenger. Da mesma forma, a vítima também deve estar logada no Facebook no navegador com a mesma conta.

A vulnerabilidade foi reportada no último dia 06 de outubro, com um prazo de 90 dias para ser corrigida - ontem (19), o Facebook lançou um patch que corrige o problema.

Essa falha é semelhante a um bug reportado no ano passado ao Face Time, que também permitia ouvir os usuários do iPhone através de seus dispositivos antes de atenderem ou rejeitarem uma ligação, embora a falha no aplicativo iOS fosse mais séria, já que era bem mais fácil de ser explorada. Além disso, no caso da vulnerabilidade no Messenger, o atacante também precisaria usar uma ferramenta como o Frida para enviar a mensagem SdpUpdate.

Silvanovich também descobriu em 2018 uma vulnerabilidade no WhatsApp que afetava o iOS e o Android e que teria permitido a um atacante comprometer o dispositivo da vítima apenas fazendo uma chamada de vídeo. Ela também reportou uma série de vulnerabilidades no iMessage no final de 2019. Naquela época, quatro das cinco vulnerabilidades reportadas permitiam que códigos maliciosos fossem executados remotamente e pudessem ser explorados por um atacante, simplesmente enviando uma mensagem maliciosa à vítima por meio do iMessage.

Por reportar essa vulnerabilidade no Facebook Messenger, Silvanovich recebeu uma recompensa de US$ 60 mil. Ela doou esse valor para uma organização de caridade chamada GiveWell.