Nov 20, 2020 Marco Schiaffino In evidenza, News, RSS, Vulnerabilità 0

Il bug nella versione Android consentiva di chiamare un utente e attivare il microfono prima che questo rispondesse.

Una falla di sicurezza in Facebook Messenger per Android avrebbe permesso di trasformare il telefono della vittima in una perfetta “cimice” per spiare conversazioni a distanza.

A individuare la vulnerabilità è stata Natalie Silvanovich, ricercatrice del team Project Zero di Google, che ha segnalato il bug incassando una ricompensa di 60.000 dollari.

La tecnica individuata consentiva, in pratica, di “ingannare” l’app di messaggistica facendole credere che il destinatario di una chiamata avesse risposto, avviando quindi la trasmissione audio.

Per ottenere il risultato sarebbe sufficiente avviare una chiamata al dispositivo della vittima e, mentre il telefono squilla, inviare un particolare comando tramite un messaggio SDP (Session Description Protocol).

Il comando in questione (SdpUpdate) impatta sul protocollo WebRTC utilizzato sull’app Messenger per Android per gestire le chiamate audio e video. Nel dettaglio, il messaggio avvia la conversazione anche se il destinatario della chiamata non ha ancora risposto.

Ma quale può essere il reale impatto di un simile attacco? In buona sostanza dipende dal contesto. Se la vittima per esempio ha disattivato la suoneria, potrebbe non accorgersi della chiamata e la tecnica consentirebbe, a questo punto, di monitorare l’ambiente in cui si trova proprio come un microfono spia.

La segnalazione della ricercatrice è stata immediatamente presa in carico dagli sviluppatori di Menlo Park che hanno sfornato la patch a tempo di record, rispettando ampiamente il termine di 90 giorni fissato da Natalie Silvanovich.

La ricercatrice, su Twitter, ha annunciato di aver devoluto i 60.000 dollari ricevuti da Facebook a GiveWell, un’organizzazione no-profit che si occupa di aiutare persone bisognose.