Facebook Messenger: fallo permitía escuchar audio antes de atender llamadas

Una vulnerabilidad de seguridad detectada en Facebook Messenger podría haber permitido a terceros espiar a los usuarios con solo realizar una llamada a través de la plataforma, sin necesidad de que esta sea atendida.

En un escenario normal, quien recibe una llamada no transmite audio hasta que no haya contestado. Esto es posible debido a que el sistema encargado de emitir voz/video recién se activa cuando se presiona el botón ‘Aceptar’.

No obstante, la falla descubierta en la versión 284.0.0.16.119 de la aplicación de Messenger para Android por la investigadora de seguridad Natalie Silvanovich, del equipo de Project Zero de Google, habría hecho posible conectar el audio desde el principio, mientras timbra la llamada.

Según detalla el informe, el error residía en el Protocolo de Descripción de Sesión (SDP), el cual forma parte del protocolo WebRTC y es utilizado por el servicio de mensajería de Facebook para admitir llamadas de audio y video.

Silvanovich identificó que hay tipo de mensaje SDP, que no se utiliza para realizar llamadas, el cual podría ser explotado para aprobar automáticamente las conexiones WebRTC sin interacción ni conocimiento del usuario.

“Si este mensaje se envía al dispositivo de la persona que llama mientras está sonando, hará que comience a transmitir audio de inmediato, lo que podría permitir que un atacante controle los alrededores de la persona que llama”, detalló la especialista.

El fallo de seguridad se reportó el pasado 6 de octubre y Facebook lanzó recientemente un parche para poder darle solución. Por otro lado, la compañía anunció que sus investigadores implementaron “protecciones adicionales contra este problema en nuestras aplicaciones que usan el mismo protocolo de llamadas”.