Debido a una vulnerabilidad de seguridad en la función de chat de video Messenger Rooms de Facebook, los atacantes pudieron acceder a las fotos, videos y publicaciones privadas de Facebook de una víctima, según The Daily Swig.
Como se muestra en un video de prueba de concepto proporcionado a Facebook junto con el informe de vulnerabilidad, una cuenta de Facebook podría ser secuestrada invitándolos a una sala de mensajería. Aunque se requería acceso físico al dispositivo de la víctima, el ataque podría llevarse a cabo sin desbloquear un teléfono inteligente o tableta objetivo, lo que le valió al investigador de seguridad nepalí Samip Aryal una recompensa por error de $ 3,000.
La secuela del error de seguridad
El último descubrimiento de Aryal fue motivado por una vulnerabilidad similar anterior de Messenger que descubrió en octubre de 2020. En ese entonces, podía exponer videos privados almacenados y el historial de visualización durante una conversación de Messenger a través de la función Ver juntos .
El problema, que también podría ser aprovechado por un atacante con acceso físico a un teléfono inteligente Android bloqueado, se solucionó junto con vulnerabilidades similares que requieren que los usuarios desbloqueen sus teléfonos antes de poder usar las funciones en cuestión.
Aryal eligió aplicar el mismo enfoque de piratería a la función de llamada de Messenger Rooms y descubrió que la función de chat podría activarse durante una conversación sin desbloquear el teléfono inteligente o tableta Android de la víctima.
Desbloqueo del exploit
El investigador alojó una sala de mensajería mientras estaba conectado a una cuenta de Facebook en una PC de escritorio e invitó a una cuenta activa en un dispositivo Android a unirse. Después de ingresar a la habitación con la cuenta maliciosa, llamó al dispositivo de la víctima desde la sección Usuarios invitados, y el teléfono inteligente objetivo, cuya pantalla estaba bloqueada, comenzó a sonar en segundos.
Aryal dijo: "Luego contesté la llamada y probé todas las funciones sensibles previamente conocidas como 'mirar juntos', 'agregar personas', etc. pero todas necesitaban desbloquear el teléfono antes de usarlas".
El gran avance se produjo cuando el investigador observó una opción en la esquina superior derecha de la pantalla de llamada para charlar con otros asistentes a la sala. "Descubrí que podía acceder a todas las fotos / videos privados en ese dispositivo sin siquiera desbloquear el teléfono", así como enviar publicaciones "haciendo clic en la opción 'editar' para cualquier medio", explicó.
Según Aryal, el equipo de seguridad de Facebook implementó una revisión para la vulnerabilidad en el lado del cliente "así como en el lado del servidor para parchearla también en versiones vulnerables anteriores de Messenger" dentro de un día del avistamiento.
La cantidad de la increíble recompensa fue una grata sorpresa, dijo, ya que el escenario de ataque requería acceso físico al dispositivo de la víctima, aunque la barrera de autenticación primaria del dispositivo resultó ineficaz en este caso
Gracias por visitar este sitio, espero que te haya gustado y vuelvas proximamente, compartela en las redes sociales, gracias
Fecha actualización el 2021-06-18. Fecha publicación el 2021-06-18. Categoría: facebook Autor: Oscar olg Mapa del sitio Fuente: makeuseof