Facebook ha corretto un difetto significativo nella versione Android di Facebook Messenger che avrebbe potuto consentire agli aggressori di spiare gli utenti e potenzialmente identificare l’ambiente circostante a loro insaputa.
Natalie Silvanovich, ricercatrice di sicurezza presso Google Project Zero, ha scoperto la vulnerabilità, che secondo lei esisteva nell’implementazione dell’app di WebRTC, un protocollo utilizzato per effettuare chiamate audio e video “scambiando una serie di messaggi particolari tra il chiamato e il chiamante”, ha spiegato una descrizione pubblicata online.
In uno scenario normale, l’audio della persona che effettua la chiamata non viene trasmesso finché la persona dall’altra parte non accetta la chiamata. Questo viene visualizzato nell’app o non chiamando setLocalDescription fino a quando la persona chiamata non ha fatto clic sul pulsante “accetta” o impostando le descrizioni dei media audio e video nel protocollo SDP (Session Description Protocol) locale su inattive e aggiornandole quando l’utente fa clic sul bottone, spiega Silvanovic.
“Tuttavia, esiste un tipo di messaggio che non viene utilizzato per la configurazione delle chiamate, SdpUpdate, che fa chiamare immediatamente setLocalDescription”, ha spiegato. “Se questo messaggio viene inviato al dispositivo chiamato mentre sta squillando, inizierà a trasmettere immediatamente l’audio, il che potrebbe consentire a un aggressore di monitorare l’ambiente circostante del chiamato.”
Silvanovich ha fornito una riproduzione passo dopo passo del problema nel suo rapporto. Lo sfruttamento del bug richiederebbe solo pochi minuti; tuttavia, un utente malintenzionato dovrebbe già disporre delle autorizzazioni, ovvero essere “amici” di Facebook con l’utente, per chiamare la persona dall’altra parte.
Silvanovich ha rivelato il bug a Facebook il 6 ottobre; l’azienda riferisce di aver risolto il difetto il 19 novembre. Facebook ha un programma di bug bounty dal 2011.
Infatti, l’identificazione di Silvanovich del bug Messenger, che le è valsa una taglia di 60.000 dollari era uno dei tanti che l’azienda ha evidenziato in un post sul blog pubblicato Giovedi che celebra 10° anniversario del programma a premi.
“Dopo aver corretto il bug segnalato lato server, i nostri ricercatori di sicurezza hanno applicato protezioni aggiuntive contro questo problema alle nostre app che utilizzano lo stesso protocollo per le chiamate 1: 1”, ha scritto nel post Dan Gurfinkel, responsabile dell’ingegneria della sicurezza di Facebook. Ha aggiunto che il premio di Silvanovich è uno dei tre più alti mai assegnati, “che riflette il suo massimo impatto potenziale”.
Facebook ha recentemente rafforzato la sua offerta di bug bounty con un nuovo programma fedeltà che la società afferma essere il primo del suo genere. Il programma, chiamato Hacker Plus, mira a incentivare ulteriormente i ricercatori a trovare le vulnerabilità nella sua piattaforma offrendo bonus in aggiunta ai premi di taglie, l’accesso a più prodotti e funzionalità che i ricercatori possono sottoporre a stress test e li invita agli eventi annuali di Facebook.
Silvanovich ha scelto di donare la taglia “generosamente conquistata” a GiveWell, un’organizzazione no profit che organizza donazioni di beneficenza per garantire il massimo impatto, ha rivelato su Twitter.
Silvanovich è tra i numerosi ricercatori di Google Project Zero che sono stati attivi di recente nell’identificazione di gravi vulnerabilità nelle app popolari.