La vulnerabilidad crítica, ya reparada por Facebook, que estaba presente en las versiones 284.0.0.16.119 y anteriores de la app Facebook Messenger para Android, permitiría a un atacante escuchar audio desde el dispositivo de la víctima.
El equipo de búsqueda de errores Project Zero de Google, fueron quienes reportaron la vulnerabilidad el pasado 6 de octubre y dieron un plazo de 90 días a Facebook para su revisión. La vulnerabilidad podría haber sido explotada, si un atacante llamaba simultáneamente a un objetivo y le enviaba un mensaje invisible especialmente diseñado para desencadenar el ataque. A partir de ahí, el atacante comenzaría a escuchar el audio de la víctima, incluso si no respondía, durante el tiempo que sonara la llamada.
La vulnerabilidad habría sido difícil de explotar en la práctica, dado que, el atacante y la víctima deberían haber iniciado sesión en Facebook Messenger, la víctima también debería haber iniciado sesión de Facebook en el navegador con la misma cuenta. También, la persona que llama y el destinatario debían ser «amigos» de Facebook para que el ataque funcione, lo que limita su utilidad frente a la posibilidad de llamar a cualquiera.
En lugar de emitir un parche de seguridad en la aplicación móvil, Facebook ajustó su propia infraestructura del lado del servidor para corregir instantáneamente la falla para todos los usuarios. Además, la compañía pudo determinar con cierta certeza que el error nunca fue explotado, porque ningún registro contenía evidencia de los mensajes de protocolo estratégico que los atacantes necesitarían enviar.
Referencias: