Un reciente reporte de seguridad señala la detección de una vulnerabilidad en la función de videochat Facebook Messenger Rooms permitiría a los actores de amenazas acceder a fotos y videos almacenados en el dispositivo de los usuarios Android afectados. Todo inicia con un usuario recibiendo una invitación a una sala de videollamada, llamando y respondiendo a la llamada desde el dispositivo objetivo, lo que ha sido demostrado en un video de prueba de concepto compartido con Facebook.
Este ataque requiere de acceso físico al dispositivo objetivo, lo cual complica las posibilidades de ataque. No obstante, el ataque puede ser concretado sin necesidad de desbloquear el smartphone. Samip Aryal, investigador que informó a Facebook sobre la falla, recibió una recompensa de 3 mil dólares por su reporte.
La idea detrás de este reporte se basa en una vulnerabilidad encontrada anteriormente en la plataforma de mensajería cuya explotación habría permitido extraer imágenes y videos confidenciales a través de la función Watch Together de Facebook Messenger. Esta vulnerabilidad fue corregida forzando a los usuarios a desbloquear el dispositivo antes de responder a una videollamada.
El investigador decidió aplicar el mismo método de ataque a la función “Room Call” de Messenger Rooms, descubriendo que esta función también se vería afectada por una falla similar. Además, es posible activar la falla durante una llamada sin desbloquear el dispositivo de la víctima.
Al iniciar sesión en una cuenta de Facebook a través de un equipo de escritorio, el investigador alojó una sala de mensajería e invitó a una cuenta activa en un dispositivo Android a unirse. Después de unirse a la sala desde la cuenta que funcionaba como atacante, el experto llamó al dispositivo de la víctima desde la sección “usuarios invitados” y, en unos segundos, el dispositivo objetivo, con pantalla bloqueada, comenzó a sonar: “Solo respondí la llamada y probé todas las funciones anteriormente identificadas como vulnerables, aunque la mayoría requería de un dispositivo desbloqueado”, agrega Aryal.
No obstante, el investigador no demoró en notar el mensaje emergente para interactuar con otros invitados a la sala de chat: “Descubrí que podía acceder a las fotos y videos confidenciales en el dispositivo mediante esta función sin necesidad de desbloquear el teléfono, lo que me permitió ver algunos archivos de imagen y video”, concluye el experto. Facebook recibió el reporte y la falla fue corregida de inmediato.
Para conocer más sobre riesgos de seguridad informática, malware, vulnerabilidades y tecnologías de la información, no dude en ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS).
Trabajando como arquitecto de ciberseguridad, el se enfoca en protección de datos y la seguridad de datos empresariales. Antes de unirse a nosotros, ocupó varios puestos de investigador de ciberseguridad con diferentes empresas. También tiene experiencia en diferentes industrias como finanzas, salud medica y reconocimiento facial.