Facebook corrige vulnerabilidade em seu aplicativo Messenger para Android. A falha permitia que o atacante ouvisse áudios do alvo antes de o destinatário atender a chamada.
O Facebook corrigiu em seu aplicativo Messenger para Android uma falha que poderia permitir que um invasor remoto ligasse para alvos desavisados e os ouvisse antes mesmo de atenderem a chamada de áudio.
A falha foi descoberta e relatada ao Facebook por Natalie Silvanovich, da equipe de investigação de vulnerabilidades do projeto Zero Bug do Google, em 6 de outubro, e impacta a versão 284.0.0.16.119 (e anteriores) do Facebook Messenger para Android.
Em poucas palavras, a vulnerabilidade pode conceder a um invasor logado no aplicativo a capacidade de iniciar uma chamada e, simultaneamente, enviar uma mensagem especial para um alvo conectado tanto ao aplicativo quanto a outro cliente do Messenger, como o navegador da Web.
“Em seguida, isto desencadearia um cenário no qual, enquanto o dispositivo permanecesse tocando, o chamador passaria a receber áudio até que a pessoa atendesse a ligação ou a chamada expirasse” (tradução nossa), disse dan Gurfinkel, Gerente de Engenharia de Segurança do Facebook. De acordo com um relatório técnico de Silvanovich, a falha reside no Protocolo de Descrição de Sessão (Session Descriprion Protocol – SDP) da WebRTC— que define um formato padronizado para a troca de streaming de mídia entre dois pontos finais — permitindo que um invasor envie um tipo especial de mensagem conhecida como “SdpUpdate”, a qual faz com que a chamada se conecte ao dispositivo receptor antes de ser atendida.
Chamadas de áudio e vídeo via WebRTC normalmente não transmitem áudio até que o destinatário tenha clicado no botão de aceitar, mas se esta mensagem “SdpUpdate” for enviada para o dispositivo da outra extremidade enquanto este estiver tocando, “isso fará com que comece a transmitir áudio imediatamente, o que pode permitir que um invasor monitore o entorno de quem recebe a chamada”.
De certa forma, a vulnerabilidade tem semelhança com uma falha de erosão de privacidade relatada no recurso de bate-papos em grupo FaceTime da Apple no ano passado, a qual possibilitou que os usuários iniciassem uma chamada de vídeo do FaceTime e escutassem os alvos mesmo antes de a pessoa do outro lado aceitar a chamada recebida. Para isso, os atacantes adicionavam seu próprio número como terceira pessoa em um bate-papo em grupo. A gafe foi considerada tão grave que a Apple desligou completamente os chats em grupo do FaceTime antes de tratar o problema em uma atualização subsequente do iOS.
No entanto, ao contrário da falha do FaceTime, explorar a falha do Messenger não é tão fácil. O interlocutor já tem que ter as permissões para ligar para uma pessoa específica — em outras palavras, o chamador e o chamado têm que ser amigos do Facebook.
Além disso, o ataque também exige que o atacante use ferramentas de engenharia reversa como Frida para manipular seu próprio aplicativo Messenger, a fim de forçá-lo a enviar a mensagem personalizada “SdpUpdate”.
Silvanovich recebeu uma recompensa de 60 mil dólares por relatar o problema. A recompensa figura entre as três maiores recompensas de bugs do Facebook até o momento. A pesquisadora do Google declarou que doará o valor para uma organização sem fins lucrativos chamada GiveWell.
* Escrito/adaptado a partir de informações disponíveis nas páginas https://thehackernews.com/2020/11/facebook-messenger-bug-lets-hackers.html e https://bugs.chromium.org/p/project-zero/issues/detail?id=2098.