Error de Fb Messenger habilitado Espionaje en Android …



Una falla crítica en Facebook Messenger en Android permitiría a alguien iniciar una llamada de audio o video sin el conocimiento de la víctima.

Facebook ha parcheado una vulnerabilidad crítica en la aplicación móvil Fb Messenger para Android, que podría haber permitido a los atacantes espiar a otros usuarios de Fb mediante llamadas de audio y online video.

Natalie Silvanovich, la investigadora del Proyecto Cero de Google que descubrió el mistake, dice que existía en la implementación de Fb Messenger de un protocolo llamado WebRTC, que la aplicación usa para configurar llamadas de audio y movie intercambiando «mensajes de ahorro» entre la persona que llama y la persona que llama.

Normalmente, una persona que recibe una llamada no envía audio hasta que se acepta la llamada, dijo Silvanovich en un informe sobre sus hallazgos. Este paso se implementa al no llamar a setLocalDescription hasta que el destinatario de la llamada haya hecho clic en aceptar o al configurar la descripción de medios de audio y movie en el Protocolo de descripción de sesión (SDP) neighborhood en inactivo y actualizarlos cuando se acepta la llamada.

Sin embargo, escribió, hay un tipo de mensaje llamado SdpUpdate, que no se united states of america para la configuración de llamadas y hará que setLocalDescription sea llamado inmediatamente. Si este mensaje se envía a alguien mientras suena su teléfono, la persona que llama comenzaría a transmitir audio de inmediato y permitiría al atacante escuchar su entorno. La persona que llama no tendría que contestar su teléfono.

Silvanovich explica los pasos de un ataque en su informe. En un separado redactar Al celebrar el décimo aniversario de su programa de recompensas por errores, Facebook señaló que un atacante necesitaría tener ciertos permisos, como ser ya amigo de Fb, para llamar a una víctima. El atacante también necesitaría usar herramientas de ingeniería inversa para enviar un mensaje personalizado desde su aplicación Messenger.

Fb solucionó la vulnerabilidad con un parche en el lado del servidor y dice que sus investigadores aplicaron más protecciones para este problema en todas las aplicaciones que usan el mismo protocolo para llamadas uno a uno. La falla mereció una recompensa por errores de $ 60,000, entre las tres recompensas por errores más altas que ofrece la compañía.

Leer el Proyecto Cero de Silvanovich informe de error para más detalles.

Speedy Hits de Dim Looking through ofrece una breve sinopsis y un resumen de la importancia de las noticias de última hora. Para obtener más información de la fuente initial de la noticia, siga el enlace proporcionado en este artículo. Ver biografía completa

Lectura recomendada:

Más información





Enlace a la noticia first