El error de Facebook Messenger te permite espiar a los usuarios de Android - Calendae | Informática, Electrónica, CMS, Ciberseguridad

El error de Facebook Messenger te permite espiar a los usuarios de Android

Hola, ¿qué tal colega?. Te escribe Eduardo Arroyo y en el día de hoy te voy a hablar sobre El error de Facebook Messenger te permite espiar a los usuarios de Android

El error de Facebook Messenger te permite espiar a los usuarios de Android

La compañía solucionó una vulnerabilidad que podía conectar llamadas de video y audio sin el conocimiento de la persona que las recibía.

Facebook solucionó una falla significativa en la versión de Android de Facebook Messenger que podría haber permitido a los atacantes espiar a los usuarios y potencialmente identificar su entorno sin su conocimiento.

Natalie Silvanovich, investigadora de seguridad en Proyecto cero de Google, descubrió la vulnerabilidad, que afirmó que existía en la implementación de la aplicación de WebRTC, un protocolo utilizado para realizar llamadas de audio y video «mediante el intercambio de una serie de mensajes de parsimonia entre la persona que llama y la persona que llama», explicó a Descripción Publicado Online.

En un escenario normal, el audio de la persona que realiza la llamada no se transmite hasta que la persona del otro lado acepta la llamada. Esto se muestra en la aplicación al no llamar a setLocalDescription hasta que la persona llamada haya hecho clic en el botón «aceptar» o al configurar las descripciones de medios de audio y video en el Protocolo de descripción de sesión (SDP) local como inactivas y actualizarlas cuando el El usuario hace clic en el botón, explicó Silvanovic.

«Sin embargo, hay un tipo de mensaje que no se utiliza para la configuración de llamadas, SdpUpdate, que llama inmediatamente a setLocalDescription», explicó. «Si este mensaje se envía al dispositivo llamado mientras está sonando, inmediatamente comenzará a transmitir audio, lo que podría permitir a un atacante monitorear los alrededores de la persona que llama».

Silvanovich proporcionó una reproducción paso a paso del problema en su informe. Aprovechar el error solo tomaría unos minutos; sin embargo, un atacante ya tendría permisos, es decir, ser «amigos» de Facebook con el usuario, para llamar a la persona del otro lado.

Silvanovich reveló el error a Facebook el 6 de octubre; la empresa arregló la falla el 19 de noviembre, informó. Facebook tiene un programa de recompensas por errores desde 2011.

De hecho, la identificación de Silvanovich del error de Messenger, que le valió una recompensa de $ 60,000, fue una de varias que la compañía destacó en un entrada en el blog lanzado el jueves para celebrar el décimo aniversario del programa.

«Después de corregir el error del lado del servidor informado, nuestros investigadores de seguridad han aplicado protecciones adicionales contra este problema a nuestras aplicaciones que usan el mismo protocolo para llamadas 1: 1», escribió Dan Gurfinkel, jefe de ingeniería de Seguridad de Facebook. Añadió que el premio de Silvanovich es uno de los tres más importantes jamás otorgados, «reflejando su máximo impacto potencial».

Facebook recientemente reforzó su oferta de recompensas por errores con un nuevo programa de lealtad que, según la compañía, es el primero de su tipo. El programa, llamado Hacker Plus, tiene como objetivo incentivar aún más a los investigadores para que encuentren vulnerabilidades en su plataforma al ofrecer bonificaciones además de recompensas, acceso a más productos y funciones que los investigadores pueden probar e invitar a eventos anuales. de Facebook.

Silvanovic ha optado por donar el tamaño «generosamente recompensado» a GiveWell, una organización sin fines de lucro que organiza donaciones benéficas para garantizar el máximo impacto, reveló en Twitter.

Silvanovich se encuentra entre los muchos investigadores de Google Project Zero que han estado activos recientemente en la identificación de vulnerabilidades graves en aplicaciones populares. Durante el mes pasado, los investigadores del grupo no solo descubrieron importantes vulnerabilidades de día cero en el navegador Chrome de Google, sino también en los dispositivos móviles Windows de Apple y Microsoft.

.

No te olvides compartir en tu Facebook para que tus colegas opinen

??? ? ? ???

Comparte

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *