Il social ha corretto un bug che avrebbe permesso a terzi di ascoltare le chiamate effettuate con l’app di chat
Un pesante bug colpiva Messenger, la piattaforma di chat, anche audio e video, di Facebook. La falla è stata individuata dal ricercatore di Google Project Zero, Natalie Silvanovich il mese scorso e ha interessato in maniera esclusiva gli utenti Android di Messenger. Nello specifico, l’attacco avrebbe permesso ad un terzo incomodo di avviare una chiamata e inviare messaggi ai contatti, invisibili al mittente.
Ma non solo: si avrebbe avuto accesso anche alla cronologia delle conversazioni, così da ascoltare gli audio e partecipare, in maniera nascosta, alle chiamate. Per fortuna, questa vulnerabilità era sfruttabile solo in circostanze speciali e richiedeva strumenti specifici. Ad esempio, sia l’aggressore che la vittima dovevano aver effettuato l’accesso a Messenger per Android, allo stesso momento. Oltre a ciò, la vittima si doveva trovare anche con il proprio profilo aperto su Messenger via browser web. Inoltre, l’attaccante avrebbe dovuto già essere nell’elenco degli amici della vittima.
Ora risolto
L’anno scorso, Apple ha corretto un bug che permetteva ai contatti di intercettare le vittime, attraverso FaceTime. Silvanovich ha confermato che, dopo aver scoperto questo exploit, ha iniziato a cercarlo su altre app. Fino ad ora, è riuscita a trovare bug in altre piattaforme di comunicazione, come Signal, Mocha e JioChat: tutti rattoppati. Facebook ha rivelato i dettagli su questo bug come parte del blog nel decimo anniversario del suo programma di bug bounty.
La società ha dichiarato di aver pagato 11,7 milioni di dollari ai ricercatori di sicurezza per 6.900 segnalazioni di bug accettate su oltre 130.000 inviate. Il mese scorso, il social network ha svelato un nuovo programma di fidelizzazione, chiamato Hacker Plus, per incentivare ulteriormente la ricerca di vulnerabilità sulle piattaforme proprietarie.