Facebook reparó un fallo de seguridad en la app Messenger para Android que habría permitido a terceros conectarse al audio de una llamada antes de que la persona que está recibiendo la llamada atienda y sin necesidad de su interacción.
Este fallo, descubierto por Natalie Silvanovich del equipo de Project Zero de Google, estaba presente en las versiones 284.0.0.16.119 y anteriores de la app Facebook Messenger para Android.
Según explica el reporte, quien recibe la llamada no transmite audio hasta que decide aceptar la misma. Sin embargo, este fallo que radica en el protocolo WebRTC que utiliza Messenger para la transmisión de audio y video entre dos terminales, habría permitido a un atacante que enviase de forma simultánea a la llamada un tipo de mensaje -que no se utiliza para las llamadas-, denominado SdpUpdate, que el dispositivo de la víctima comience a transmitir audio mientras llama y que el atacante escuche el audio que transmite su entorno sin que la víctima se entere. Esto durará hasta que la víctima responda o finalice la llamada.
Para explotar este fallo, el atacante y la víctima deberán haber iniciado sesión en Facebook Messenger. Asimismo, la víctima también deberá haber iniciado sesión en Facebook en el navegador con la misma cuenta.
La vulnerabilidad fue reportada el pasado 6 de octubre con un plazo de 90 días para que la misma sea reparada y Facebook lanzó un parche en el día de ayer.
Este fallo resulta similar a uno reportado el año pasado en Face Time que también permitía escuchar a los usuarios de iPhone a través de sus dispositivos antes de que contesten o rechacen una llamada entrante, aunque el fallo en la app de iOS era más grave dado que era más sencillo de explotar. Además, en el caso de la vulnerabilidad en Messenger el atacante también necesita el uso de una herramienta como Frida para el envío del mensaje SdpUpdate.
Silvanovich también fue quien descubrió en 2018 una vulnerabilidad en WhatsApp que afectaba a iOS y Android y que habría permitido a un atacante comprometer el dispositivo de la víctima con solo atender una videollamada, y también reportó a fines de 2019 una serie de vulnerabilidades en iMessage. En esa oportunidad, cuatro de las cinco vulnerabilidades reportadas permitían ejecutar código malicioso de manera remota y podían ser explotadas por un atacante con solo enviar un mensaje malicioso a la víctima a través de iMessage.
Por el reporte de esta vulnerabilidad en Facebook Messenger, Silvanovich recibió una recompensa de $60.000 que luego donó a una organización dedicada a la caridad llamada GiveWell.