Bug in Facebook Messenger consentiva di spiare altri utenti

Facebook ha corretto un grave problema di sicurezza nell’app Messenger per Android che permetteva al chiamante di ascoltare i suoni dell’ambiente prima che il destinatario provvedesse a rispondere.

La scoperta è stata messa a segno da Natalie Silvanovich, in forze presso il team Google Project Zero. La ricercatrice si è accorta che Facebook Messenger versione 284.0.0.16.119 per Android e release precedenti non gestivano correttamente la ricezione di un messaggio chiamato SdpUpdate e attivavano il microfono sul dispositivo mobile dell’utente chiamato prima che questi rispondesse alla chiamata in arrivo.

Eseguendo il codice PoC (proof-of-concept) sul dispositivo dell’aggressore questi poteva simulare la risposta da parte dell’utente vittima.

Gli sviluppatori di Facebook hanno confermato il problema e si sono attivati per correggerlo distribuendo una versione aggiornata di Messenger esente da qualunque vulnerabilità nota.

Dal social network si precisa comunque che per fare leva sulla problematica di sicurezza era indispensabile che l’aggressore fosse già amico dell’utente chiamato.

Per aver scoperto un bug di sicurezza molto delicato (perché avrebbe potuto essere utilizzato per spiare altri utenti a loro insaputa, ad esempio allorquando la suoneria dello smartphone risultasse silenziata), la Silvanovich è stata premiata da Facebook con una somma pari a 60.000 dollari. Uno degli importi più elevati mai pagati dal social network di Mark Zuckerberg.
Da parte sua la ricercatrice ha dichiarato di voler destinare l’intera somma in beneficenza devolvendola al GiveWell Maximum Impact Fund. Facebook ha quindi deciso di versare ulteriori 60.000 dollari per contribuire alla stessa causa.