Falha no Facebook Gaming permitia “desviar” espectadores de uma live para outra

Uma falha de segurança no sistema de gank do Facebook Gaming permitia que os espectadores de uma live fossem “desviados” para outra sem que o responsável por ela fizesse o comando necessário. A falha foi descoberta pelo hacker ético brasileiro Gabriel Pato em junho do ano passado e, após ser resolvida, rendeu a ele uma recompensa de US$ 10 mil pelo programa de caça a bugs da rede social.

A falha estava em uma funcionalidade chamada “stream chaining”, popularmente conhecida como “gank” entre a comunidade streamer. Basicamente, a ideia é que, ao final de uma live, um streamer possa transferir todos os seus espectadores ativos para a transmissão ao vivo de um amigo ou parceiro. Seria uma forma de manter a comunidade conectada e dar uma força para outros produtores de conteúdo. O problema é que, na brecha, esse processo poderia ser feito sem a autorização dos envolvidos.

Analisando o processo, Pato descobriu que o recurso funciona a partir de uma solicitação feita por URL, que basicamente contém a identificação do responsável pelo gank e também de quem vai receber o auxílio, bem como uma verificação do status dos envolvidos. Era aí que estava o problema: o sistema não verificava se o responsável pela execução do código tinha os privilégios necessários para realizar o processo no stream original, checando apenas se ele possuía status de administrador no Facebook, algo extremamente simples na plataforma, pois basta criar qualquer página para obter isso.

“Essa é uma vulnerabilidade extremamente simples de ser explorada, mas bem complicada para quem tem a tarefa de proteger as aplicações”, explica o hacker em um vídeo publicado nesta sexta (06), que foi liberado de forma antecipada ao Canaltech. Como demonstrado por ele, por mais que o usuário comum não tenha acesso às IDs de páginas e transmissões ao vivo no Facebook Gaming, obter tais informações é extremamente simples, seja por meio de uma análise das URLs do serviço, por uma leitura dos códigos no console do próprio navegador ou, ainda, por plataformas online que fornecem esse tipo de informação.

Para validar sua descoberta, Pato realizou a transferência de espectadores entre as lives de dois produtores de conteúdo conhecidos da plataforma: Gabriela Zambrozuski e Pedro Gelli, reconhecidos, principalmente, nas comunidades de Free Fire e Clash of Clans, respectivamente. O processo foi feito com autorização e conhecimento de ambos, mas a partir do computador do próprio especialista que, em teoria, não deveria ter as credenciais necessárias para isso. Deu certo, com direito às indicações padrão de que um deles estava transferindo seus espectadores para o outro.

• BGS 2019 | Brasil é uma das cinco maiores audiências do Facebook Gaming
• Entrevista | Facebook Gaming: "Nosso foco é gerar comunidades gamers"
• Como começar a fazer lives de games? Facebook, Twitch e YouTube respondem

Uma exploração dessa vulnerabilidade poderia, por exemplo, gerar crescimento artificial para produtores de conteúdo que se aproveitassem dela ou simplesmente atingir streamers com o “furto” de seus seguidores. “Alguém também poderia ‘trollar’ uma final de torneios [de eSports], que também são transmitidas pelo Facebook”, aponta Pato, citando o impacto financeiro desse tipo de ação.

Caçador de bugs

O especialista afirma que, ao se deparar com a vulnerabilidade, não estava focado em encontrar problemas de segurança na plataforma e sim criar aplicações que tornassem os streamings de seus parceiros e amigos mais interativos com a audiência. Ele é o responsável, por exemplo, pelo desenvolvimento de um código que exibe informações como novos inscritos, doações, assinaturas e outros elementos de interação na tela dos streamings do Facebook Gaming.

A partir da descoberta, surgiu a ideia de relatar o problema à própria plataforma por meio de seu programa de Bug Bounty, que convida a comunidade de segurança a relatar brechas desse tipo em troca de recompensas em dinheiro. “A plataforma é extremamente acessível e não importa se você não tem formação na área. Desde que você siga todos os termos e regras, basta detalhar o que identificou que eles certamente estarão interessados”, contou Pato.

De acordo com o hacker ético, a falha foi resolvida oito dias depois do envio de seu relatório e ele ainda foi informado sobre o andamento de todo o processo, sendo capaz de testar o fechamento da brecha após ser notificado sobre a solução pela equipe do Facebook. E, no melhor de tudo, Pato recebeu uma recompensa de US$ 10 mil pela descoberta, mais de R$ 45 mil na cotação atual.

Quanto mais crítica a falha descoberta por um especialista, maior a recompensa, e esse tipo de hierarquia é comum em programas de caça aos bugs de empresas como Google, Amazon, Microsoft e tantas outras, além do próprio Facebook, é claro. A ideia é que os responsáveis pelas descobertas sejam remunerados por isso, ao mesmo tempo em que informam os problemas às empresas para que as vulnerabilidades não sejam exploradas de maneira maliciosa.

“O programa de bug bounty do Facebook é tradicional e paga bem acima da média, o que faz compensar o trabalho”, diz o hacker. Pato ainda afirma que chegou a reportar uma segunda falha à rede social, mas de menor complexidade e risco, resultando também em uma recompensa menor: US$ 500, aproximadamente R$ 2,3 mil. Os detalhes sobre essa segunda brecha, porém, não foram revelados por ele.

Em comunicado enviado ao Canaltech, o Facebook afirmou que não existem evidências de exploração da brecha nem de comprometimento dos dados pessoais de seus usuários por decorrência dela. A empresa agradeceu ao pesquisador por ter reportado o problema à empresa e enalteceu o trabalho da comunidade de seu programa de caça a bugs, que ajuda a tornar toda a rede social mais segura.