Facebook ha lanzado un parche para cerrar un fallo en las llamadas de Messenger. Es posible que los atacantes hayan espiado algunas llamadas. Lo curioso es que no ha sido Facebook quién lo ha descubierto, sino el Proyecto Zero de Google.
El fallo de seguridad se ha detectado en Facebook Messenger para Android, y podría haber permitido que los ciberdelincuentes conectasen y escuchasen las llamadas que realizaban los usuarios.
Ha sido una investigadora de seguridad del Proyecto Zero de Google quien ha descubierto ese fallo en la aplicación para Android. Natalie Silvanovich realizaba una auditoría cuando dió con el grave fallo, el cual ya está parcheado.
El fallo de seguridad se detectó y se informó a Facebook el mes pasado. Hoy ha salido a la luz un informe donde Natalie Silvanovich comentaba que el error se encontraba en el Protocolo WebRTC. Se trata de la función que permite que las comunicaciones de audio y vídeo funcionen dentro de las apps y webs.
La investigadora fue un paso más allá y dijo que el error residía en la parte de la función de WebRTC que se encarga de los datos de sesión para realizar la conexión.
Tras una investigación, Natalie llegó a la conclusión de que se podría haber manipulado ese fallo para realizar conexiones de comunicación. Lo grave es que los usuarios afectados no lo sabían en ningún momento. De ahí que el fallo de seguridad de Facebook Messenger podría haber desembocado en posibles escuchas.
El descubrimiento de este error fue recompensado por Facebook. La investigadora dejó constancia en su perfil de Twitter de la cifra que Facebook le había entregado por ayudarles a mejorar su seguridad, nada menos que 60.000 dólares.
Es de vital importancia mantener siempre actualizados todos los servicios y aplicaciones que usamos. Muchas veces una actualización puede llevar un parche de seguridad, y no solo alguna novedad en la interfaz o algún añadido extra como los Fleets de Twitter.