Un error en Facebook Messenger permite escucharte antes de que atiendas la llamada

Tiempo de lectura: 2 minutos

El pasado 6 de octubre Natalie Silvanovich, quien pertenece al equipo de búsqueda de errores de Project Zero en Google, descubrió un fallo en la aplicación Messenger para Android.

Esta aplicación, que pertenece a Facebook, permitió que los usuarios pudieran recibir el audio de otro dispositivo mediante una llamada sin la necesidad de que esta fuese atendida. Este error ocurrió con la versión 284.0.0.16.119 de Facebook Messenger en dispositivos Android.

Facebook reparó este fallo que permitía a terceros conectarse durante una llamada al audio, antes de que la persona que recibe la llamada la descolgase. Esto significa que dicha persona no autorizaba la acción. Este fallo surge a causa del protocolo WebRTC, el cual es utilizado por Messenger para transmitir audio y video entre dispositivos.

La persona que realizaba la llamada enviaba simultáneamente el mensaje “SdpUpdate”, lo cual permitía que el dispositivo de la víctima comenzara a transmitir audio sin necesidad de interacción entre dichos usuarios.

Para llevar a cabo esto, ambas personas debían haber iniciado sesión en Facebook Messenger y, además, el que hace la llamada debía iniciar sesión en el navegador con la misma cuenta de Facebook.

Mediante estos sencillos pasos algunas personas explotaban este error de Facebook Messenger que podríamos considerar como muy grave. No obstante, no es la primera vez que ocurre algo similar.

En 2019 un error en FaceTime de Apple permitió a los usuarios iniciar videollamadas en FaceTime y que pudieran escuchar a otras personas en un chat grupal agregando su propio número como tercera persona.

Para subsanar el problema, Apple decidió eliminar los chats grupales de FaceTime por completo, en lugar de solucionar el problema con una posterior actualización del sistema operativo.

Ante estos casos, los usuarios pueden sentir vulnerables y eso es lo que se pretende evitar el equipo de analistas de seguridad Proyecto Cero de Google.

Un error en Facebook Messenger permite escucharte antes de que atiendas la llamada