Facebook tappa un’importante falla su Messenger

Facebook limita le funzionalità di Messenger e Instagram in Europa

Il social ha corretto un bug che avrebbe permesso a terzi di ascoltare le chiamate effettuate con l’app di chat

Un pesante bug colpiva Messenger, la piattaforma di chat, anche audio e video, di Facebook. La falla è stata individuata dal ricercatore di Google Project Zero, Natalie Silvanovich il mese scorso e ha interessato in maniera esclusiva gli utenti Android di Messenger. Nello specifico, l’attacco avrebbe permesso ad un terzo incomodo di avviare una chiamata e inviare messaggi ai contatti,  invisibili al mittente.

TI PIACE QUESTO ARTICOLO?

Iscriviti alla nostra newsletter per essere sempre aggiornato.

Ma non solo: si avrebbe avuto accesso anche alla cronologia delle conversazioni, così da ascoltare gli audio e partecipare, in maniera nascosta, alle chiamate. Per fortuna, questa vulnerabilità era sfruttabile solo in circostanze speciali e richiedeva strumenti specifici. Ad esempio, sia l’aggressore che la vittima dovevano aver effettuato l’accesso a Messenger per Android, allo stesso momento. Oltre a ciò, la vittima si doveva trovare anche con il proprio profilo aperto su Messenger via browser web. Inoltre, l’attaccante avrebbe dovuto già essere nell’elenco degli amici della vittima. 

Ora risolto

L’anno scorso, Apple ha corretto un bug che permetteva ai contatti di intercettare le vittime, attraverso FaceTime. Silvanovich ha confermato che, dopo aver scoperto questo exploit, ha iniziato a cercarlo su altre app. Fino ad ora, è riuscita a trovare bug in altre piattaforme di comunicazione, come Signal, Mocha e JioChat: tutti rattoppati. Facebook ha rivelato i dettagli su questo bug come parte del blog nel decimo anniversario del suo programma di bug bounty.

La società ha dichiarato di aver pagato 11,7 milioni di dollari ai ricercatori di sicurezza per 6.900 segnalazioni di bug accettate su oltre 130.000 inviate. Il mese scorso, il social network ha svelato un nuovo programma di fidelizzazione, chiamato Hacker Plus, per incentivare ulteriormente la ricerca di vulnerabilità sulle piattaforme proprietarie.

Leggi anche:  Tinder attiva la verifica con documento in Regno Unito, Usa e una manciata di altri Paesi