Bug do Messenger permitia que conversas via áudio fossem interceptadas
Por Rubens Eishima | 20 de Novembro de 2020 às 10h30
Um problema de segurança gravíssimo foi identificado e corrigido no aplicativo Messenger. O bug permitia que um hacker acessasse o áudio do microfone de outro dispositivo, antes mesmo do contato atender a ligação. A falha rendeu uma recompensa generosa à pesquisadora, que a doou para ONGs no terceiro mundo.
- Grande falha de segurança no FaceTime faz Apple desativar chamadas em grupo
- Zoom: veja dicas que protegem suas reuniões de invasões “zoombombing”
- Zoom corrige falha de segurança em endereços que permitia instalação de malware
O problema afetava especificamente o aplicativo do Messenger para o sistema Android, mas a vítima precisava estar ao mesmo tempo conectada no serviço web da rede social. Outro ponto importante é que ambos precisavam estar conectados no Facebook.
A falha envolvia o padrão de chamadas WebRTC usado no Messenger, mas era ativada com o uso de uma mensagem especialmente codificada para explorar o bug. Antes mesmo de atender à ligação, o áudio da vítima podia ser ouvido (e gravado) pelo invasor.
Nas mãos de agentes mal intencionados, o bug poderia ser usado para espionar e gravar informações confidenciais não apenas de empresas e agentes públicos, como também de indivíduos.
No começo do ano passado, um bug semelhante foi encontrado no app de chamadas da Apple, FaceTime. A falha motivou uma investigação nos Estados Unidos, além de estimular a pesquisadora Natalie Silvanovich a buscar o problema em outros serviços.
Generosidade
A identificação do bug de segurança rendeu à hacker uma recompensa de 60 mil dólares (cerca de R$ 320 mil). A programadora doou a quantia para o fundo Impacto Máximo, gerenciado pela ONG norte-americana GiveWell.
O programa lista fundações e projetos que oferecem o maior benefício possível para cada quantia doada. A relação atual sugere projetos de combate à malária, suplementação vitamínica, imunização contra doenças, tratamentos para infecções parasíticas, transferência de renda e outros programas em países pobres.
A recompensa paga pelo Facebook é parte de um programa de caça a falhas de segurança que já premiou 1.500 pesquisadores nos últimos 10 anos. Apenas em 2020, a rede social destinou quase dois milhões de dólares para mais de mil falhas comprovadas.
Pesquisadores interessados em relatar bugs de segurança podem acessar o site do Facebook para o programa. É possível enviar bugs não apenas da rede social, como também do Instagram, da linha de realidade virtual Oculus, WhatsApp e outras iniciativas da empresa.
Fonte: Project Zero via Facebook