Facebook corrigió una importante falla de seguridad en su aplicación Messenger para Android que podría haber permitido a los atacantes realizar y conectar llamadas de audio de Messenger sin el conocimiento o la interacción del usuario.
El error, que podría haber sido utilizado para espiar a los usuarios de Facebook a través de sus teléfonos Android, fue encontrada durante una auditoría de seguridad por Natalie Silvanovich, una investigadora que trabaja para el equipo de seguridad del Proyecto Cero de Google.
En un informe, Silvanovich indicó que el error residía en el protocolo WebRTC que la aplicación de Messenger está usando para soportar llamadas de audio y video.
El problema residía en el Protocolo de Descripción de Sesiones (SDP), parte de WebRTC. Este protocolo maneja los datos de sesión para las conexiones de WebRTC, y Silvanovich descubrió que un mensaje SDP podía ser abusado para auto-aprobar las conexiones de WebRTC sin la interacción del usuario.
“Hay un tipo de mensaje que no se usa para la configuración de llamadas, SdpUpdate”, explicó Silvanovich. “Si este mensaje se envía al dispositivo del callejero mientras está sonando, hará que empiece a transmitir audio inmediatamente, lo que podría permitir a un atacante monitorear el entorno del callejero”.
Explotar el micrófono toma unos segundos, según el informe de Silvanovich.
El investigador de Google reportó el problema a Facebook el mes pasado, y el gigante de los medios sociales lo parcheó hoy en una actualización de su aplicación de Messenger para Android.
Con información de: ZDNet.
Spanish
English
Portuguese
Chinese (Simplified)
Russian
French
German
Dutch
Italian