Um problema de segurança gravíssimo foi identificado e corrigido no aplicativo Messenger. O bug permitia que um hacker acessasse o áudio do microfone de outro dispositivo, antes mesmo do contato atender a ligação. A falha rendeu uma recompensa generosa à pesquisadora, que a doou para ONGs no terceiro mundo.
- Grande falha de segurança no FaceTime faz Apple desativar chamadas em grupo
- Zoom: veja dicas que protegem suas reuniões de invasões “zoombombing”
- Zoom corrige falha de segurança em endereços que permitia instalação de malware
O problema afetava especificamente o aplicativo do Messenger para o sistema Android, mas a vítima precisava estar ao mesmo tempo conectada no serviço web da rede social. Outro ponto importante é que ambos precisavam estar conectados no Facebook.
A falha envolvia o padrão de chamadas WebRTC usado no Messenger, mas era ativada com o uso de uma mensagem especialmente codificada para explorar o bug. Antes mesmo de atender à ligação, o áudio da vítima podia ser ouvido (e gravado) pelo invasor.
–
Canaltech no Youtube: notícias, análise de produtos, dicas, cobertura de eventos e muito mais! Assine nosso canal no YouTube, todo dia tem vídeo novo para você!
–
Nas mãos de agentes mal intencionados, o bug poderia ser usado para espionar e gravar informações confidenciais não apenas de empresas e agentes públicos, como também de indivíduos.
No começo do ano passado, um bug semelhante foi encontrado no app de chamadas da Apple, FaceTime. A falha motivou uma investigação nos Estados Unidos, além de estimular a pesquisadora Natalie Silvanovich a buscar o problema em outros serviços.
Facebook generously awarded a bounty of $60,000 for this bug, which I’m donating to the @GiveWell Maximum Impact Fund https://t.co/JvZt9Fw4nx
— Natalie Silvanovich (@natashenka) November 19, 2020
Generosidade
A identificação do bug de segurança rendeu à hacker uma recompensa de 60 mil dólares (cerca de R$ 320 mil). A programadora doou a quantia para o fundo Impacto Máximo, gerenciado pela ONG norte-americana GiveWell.
O programa lista fundações e projetos que oferecem o maior benefício possível para cada quantia doada. A relação atual sugere projetos de combate à malária, suplementação vitamínica, imunização contra doenças, tratamentos para infecções parasíticas, transferência de renda e outros programas em países pobres.
A recompensa paga pelo Facebook é parte de um programa de caça a falhas de segurança que já premiou 1.500 pesquisadores nos últimos 10 anos. Apenas em 2020, a rede social destinou quase dois milhões de dólares para mais de mil falhas comprovadas.
Pesquisadores interessados em relatar bugs de segurança podem acessar o site do Facebook para o programa. É possível enviar bugs não apenas da rede social, como também do Instagram, da linha de realidade virtual Oculus, WhatsApp e outras iniciativas da empresa.
Trending no Canaltech:
- Perda inestimável: Observatório de Arecibo será desativado para evitar desastre
- Microfone no rover Perseverance grava sons da viagem rumo a Marte; ouça!
- Sinal Wow! | Esta estrela pode ser a fonte do sinal que nos intriga há 43 anos
- Missão Mars Express revela o terreno caótico e irregular na região Pyrrhae Regio
- Cosmonautas selam novamente vazamento de ar na Estação Espacial Internacional
Fonte: Canaltech
