Secciones
Piratas informáticos hackean las llamadas de Facebook Messenger
Mundo

Hackers pueden escuchar las llamadas de Facebook Messenger

El error que se denunció en Facebook Messenger permite a los piratas informáticos escucharte antes de contestar la llamada

por AdrianaChuc

Piratas informáticos hackean las llamadas de Facebook Messenger

Piratas informáticos hackean las llamadas de Facebook Messenger

Facebook ha corregido un error en su aplicación Messenger para Android, ampliamente instalada, que podría haber permitido a un atacante remoto llamar a objetivos desprevenidos y escucharlos incluso antes de que contestaran la llamada de audio.

La falla fue descubierta y reportada a Facebook por Natalie Silvanovich del equipo de búsqueda de errores Project Zero de Google el mes pasado el 6 de octubre con un plazo de 90 días e impacta la versión 284.0.0.16.119 (y antes) de Facebook Messenger para Android.

Facebook Messenger fue hackeado

En pocas palabras, la vulnerabilidad podría haber otorgado a un atacante que inició sesión en la aplicación iniciar una llamada y enviar un mensaje especialmente diseñado a un objetivo que inició sesión tanto en la aplicación como en otro cliente de Messenger, como el navegador web.

Facebook Messenger
Piratas informáticos escucharían las llamadas de Facebook Messenger

El gerente de ingeniería de seguridad de Facebook, Dan Gurfinkel mencionó: Entonces desencadenaría un escenario en el que, mientras el dispositivo suena, la persona que llama comenzará a recibir audio hasta que la persona a la que se llama responda o la llamada se agote.

Según un informe técnico de Silvanovich, la falla reside en el Protocolo de descripción de sesión (SDP) de WebRTC, que define un formato estandarizado para el intercambio de medios de transmisión entre dos puntos finales, lo que permite a un atacante enviar un tipo especial de mensaje conocido como " SdpUpdate "que haría que la llamada se conectara al dispositivo de la persona que llama antes de ser respondida.

Las llamadas de audio y video a través de WebRTC generalmente no transmiten audio hasta que el destinatario ha hecho clic en el botón aceptar, pero si este mensaje "SdpUpdate" se envía al otro dispositivo mientras está sonando, "hará que comience a transmitir audio inmediatamente. lo que podría permitir a un atacante monitorear los alrededores de la persona que llama".

De alguna manera, la vulnerabilidad tiene similitud con una falla que erosiona la privacidad que se informó en la función de chats grupales FaceTime de Apple el año pasado que hizo posible que los usuarios iniciaran una videollamada FaceTime y escucharan a escondidas a los objetivos agregando su propio número como tercera persona en un chat grupal incluso antes de que la persona del otro extremo aceptara la llamada entrante.

La Verdad Noticias te informa que el error se consideró tan grave que Apple eliminó por completo los chats grupales de FaceTime antes de abordar el problema en una actualización posterior de iOS.

Pero a diferencia del error de FaceTime, explotar el problema no es tan fácil. La persona que llama ya debería tener los permisos para llamar a una persona específica; en otras palabras, la persona que llama y la persona que recibe la llamada tendrían que ser amigos de Facebook para lograrlo.

Facebook Messenger
Facebook Messenger fue hackeado por piratas informáticos

Es más, el ataque también requiere que el mal actor utilice herramientas de ingeniería inversa como Frida para manipular su propia aplicación Messenger y obligarla a enviar el mensaje personalizado "SdpUpdate".

Silvanovich recibió una recompensa por errores de 60,000 dólares por informar el problema, una de las tres recompensas por errores más altas de Facebook hasta la fecha, que el investigador de Google dijo que estaba donando a una organización sin fines de lucro llamada GiveWell.

TE RECOMENDAMOS LEER: Cómo borrar o desactivar una cuenta de Facebook ¡Aquí te decimos!

Esta no es la primera vez que Silvanovich encuentra fallas críticas en las aplicaciones de mensajería, quien previamente ha descubierto una serie de problemas en WhatApp, iMessage, WeChat, Signal y Reliance JioChat, algunos de los cuales han encontrado el "dispositivo de llamada para enviar audio sin interacción del usuario".

Temas

Comentarios