Bug do Messenger permitia que conversas via áudio fossem interceptadas

Por Rubens Eishima | 20 de Novembro de 2020 às 10h30
Divulgação/Facebook
Tudo sobre

Facebook

Saiba tudo sobre Facebook

Ver mais

Um problema de segurança gravíssimo foi identificado e corrigido no aplicativo Messenger. O bug permitia que um hacker acessasse o áudio do microfone de outro dispositivo, antes mesmo do contato atender a ligação. A falha rendeu uma recompensa generosa à pesquisadora, que a doou para ONGs no terceiro mundo.

O problema afetava especificamente o aplicativo do Messenger para o sistema Android, mas a vítima precisava estar ao mesmo tempo conectada no serviço web da rede social. Outro ponto importante é que ambos precisavam estar conectados no Facebook.

A falha envolvia o padrão de chamadas WebRTC usado no Messenger, mas era ativada com o uso de uma mensagem especialmente codificada para explorar o bug. Antes mesmo de atender à ligação, o áudio da vítima podia ser ouvido (e gravado) pelo invasor.

Nas mãos de agentes mal intencionados, o bug poderia ser usado para espionar e gravar informações confidenciais não apenas de empresas e agentes públicos, como também de indivíduos.

No começo do ano passado, um bug semelhante foi encontrado no app de chamadas da Apple, FaceTime. A falha motivou uma investigação nos Estados Unidos, além de estimular a pesquisadora Natalie Silvanovich a buscar o problema em outros serviços.

Generosidade

A identificação do bug de segurança rendeu à hacker uma recompensa de 60 mil dólares (cerca de R$ 320 mil). A programadora doou a quantia para o fundo Impacto Máximo, gerenciado pela ONG norte-americana GiveWell.

O programa lista fundações e projetos que oferecem o maior benefício possível para cada quantia doada. A relação atual sugere projetos de combate à malária, suplementação vitamínica, imunização contra doenças, tratamentos para infecções parasíticas, transferência de renda e outros programas em países pobres.

A recompensa paga pelo Facebook é parte de um programa de caça a falhas de segurança que já premiou 1.500 pesquisadores nos últimos 10 anos. Apenas em 2020, a rede social destinou quase dois milhões de dólares para mais de mil falhas comprovadas.

Pesquisadores interessados em relatar bugs de segurança podem acessar o site do Facebook para o programa. É possível enviar bugs não apenas da rede social, como também do Instagram, da linha de realidade virtual Oculus, WhatsApp e outras iniciativas da empresa.

Fonte: Project Zero via Facebook

Gostou dessa matéria?

Inscreva seu email no Canaltech para receber atualizações diárias com as últimas notícias do mundo da tecnologia.