Facebook parcha una vulnerabilidad en Messenger que permitía espiar a sus usuarios

Facebook ha parchado una vulnerabilidad crítica en su servicio de mensajería Facebook Messenger para Android. La amenaza hacía posible que atacantes espiaran a usuarios con llamadas telefónicas especiales que activaban el micrófono de la víctima antes de que contestara la llamada.

Para explotar la vulnerabilidad, el atacante debía llamar a su víctima y al mismo tiempo enviarle un mensaje especial para que se inicie el ataque sin que ella se dé cuenta. Al hacerlo, se activa el micrófono del dispositivo y el intruso puede comenzar a escuchar lo que sucede alrededor de su víctima durante el tiempo que suene el teléfono, aunque nadie haya contestado la llamada. “Lo que verías es que el atacante te está llamando y tu teléfono está sonando, y él podría escucharte hasta que contestes el teléfono o la llamada se corte porque no fue atendida”, explicó Dan Gurfinkel, ingeniero de seguridad de Facebook.

A pesar de que es una vulnerabilidad crítica, es difícil de explotar por varias razones: es necesario que tanto el atacante como la víctima se tengan agregados como contactos en la red social. Además, para que el ataque funcione, ambos tienen que estar conectados a Facebook para Android y la víctima también tiene que estar conectada a Messenger en un navegador web. Por último, quien lleve a cabo el ataque necesita tener conocimientos técnicos complejos y herramientas de ingeniería inversa para poder hacerlo con éxito.

Facebook parchó la vulnerabilidad directo desde su infraestructura del lado del servidor en vez de parchar sólo la aplicación para teléfonos. Asimismo, revisó los registros de los servidores en busca de rastros de ataques, pero no descubrió ninguno. “Nos apresuramos a parchar esta vulnerabilidad antes de que fuese explotada”, afirmó Gurfinkel.

La falla fue descubierta por Natalie Silvanovich del Project Zero de Google, un proyecto que se dedica a buscar vulnerabilidades desconocidas en plataformas de Internet. La investigadora de seguridad denunció la vulnerabilidad a través del programa de recompensas de Facebook, que retribuyó su descubrimiento con 60.000 dólares, una de las recompensas más grandes del programa a casi 10 años de su creación.

“Este informe ha recibido una de las tres recompensas más grandes que hemos dado”, afirmó Gurfinkel, “lo que refleja el gran impacto que podría haber tenido la vulnerabilidad si fuera explotada”. Silvanovich donó los 60.000 dólares a la organización benéfica GiveWell y Facebook se unió a la acción haciendo una donación igual.

Fuentes
A Facebook Messenger flaw could have let hackers listen in • Wired
Facebook fixes Messenger bug that allowed Android users to spy on each other • Security Magazine
Facebook Messenger bug could have allowed hackers to spy on users • The Register