Facebook Messenger do iOS tem vulnerabilidade em chamadas de grupo; entenda

Pesquisadores descobriram vulnerabilidade no Facebook Messenger para iOS que permitia interromper chamadas em grupo ao manipular reações de emojis.

Segundo o Cyber Security News, a falha, categorizada como um ataque de negação de serviço (DoS, na sigla em inglês), foi identificada pela Signal 11 Research nas versões 472.0.0 e 477.0.0 do aplicativo. Embora a Meta já tenha corrigido o problema, o caso expõe riscos associados a chats em grupo sem criptografia de ponta a ponta (E2EE).

O Messenger, amplamente utilizado globalmente, implementou a E2EE como padrão em conversas e chamadas privadas no final de 2023.

Contudo, chamadas de grupo, inicialmente, não possuem essa camada de segurança, permitindo o uso de funcionalidades indisponíveis em chats criptografados, como reações de emojis. Foi justamente essa brecha que permitiu a exploração.

Anúncio Patrocinado

Como a falha do Messenger foi explorada

• Por meio de engenharia reversa e análise dinâmica, os pesquisadores identificaram que as reações de emojis em chamadas de grupo eram processadas pelas classes SendEmojiInputModel e ReactionsApi$CProxy. Essas classes transmitiam dados dos emojis aos dispositivos dos participantes da chamada;
• Utilizando ferramentas, como o Frida, os especialistas interceptaram e alteraram o método sendEmoji para enviar emojis inválidos, representados por sequências hexadecimais incompatíveis com caracteres Unicode, como F_fe0fACE_WITH_COLON_THREE. Essa entrada malformada causava falhas nos dispositivos iOS conectados à chamada;
• Enquanto o dispositivo Android usado para enviar o emoji inválido também travava, os demais participantes com Android permaneciam operacionais;
• A falha ocorria porque o Messenger não validava adequadamente os dados recebidos, permitindo que uma entrada corrompida interrompesse a execução do aplicativo nos dispositivos afetados.

Leia mais:

• Como editar mensagens no Facebook Messenger?
• Como recuperar conversas excluídas no Messenger
• Meta lança novos recursos para as chamadas do Messenger

Implicações e medidas corretivas

Embora essa vulnerabilidade não permitisse a execução remota de código (RCE, na sigla em inglês), ela demonstrou lacunas na segurança de recursos não criptografados do Messenger.

O problema foi agravado pela randomização do layout do espaço de endereço (ASLR na sigla em inglês), que dificultava o rastreamento do código problemático.

Após a investigação, a Meta implementou correções nas versões mais recentes do aplicativo, reforçando a validação de entrada para reações de emojis. A empresa também recomenda que os usuários atualizem seus aplicativos para evitar possíveis ataques.

Lições aprendidas

A descoberta enfatiza a importância de testes rigorosos, mesmo para recursos aparentemente simples, como reações de emojis. A adoção de E2EE para chats em grupo também é recomendada para reduzir vulnerabilidades em funcionalidades não criptografadas.

Esse incidente sublinha a necessidade de priorizar a segurança em cada detalhe de aplicativos amplamente utilizados, protegendo tanto a experiência do usuário, quanto a integridade do sistema.

O que diz a Meta

O Olhar Digital entrou em contato com a Meta e aguarda retorno.

O post Facebook Messenger do iOS tem vulnerabilidade em chamadas de grupo; entenda apareceu primeiro em Olhar Digital.

Fonte do Artigo
Tags:

Gestor de Tráfego

#tecnologia #tecnologias #technology #tecnolog #iphone #informatica #tech #design #samsung #internet #apple #smartphone #seguranca #venezuela #celular #celulares #inovar #qualidade #software #empresas #cursos #engenharia #industria #marketing #ti #tecnoblog #veja #olhardigital #mundodigital #inteligenciaartificial #criar site #criar site curitiba #wiysolutions