Pesquisadores descobriram vulnerabilidade no Facebook Messenger para iOS que permitia interromper chamadas em grupo ao manipular reações de emojis.
Segundo o Cyber Security News, a falha, categorizada como um ataque de negação de serviço (DoS, na sigla em inglês), foi identificada pela Signal 11 Research nas versões 472.0.0 e 477.0.0 do aplicativo. Embora a Meta já tenha corrigido o problema, o caso expõe riscos associados a chats em grupo sem criptografia de ponta a ponta (E2EE).
O Messenger, amplamente utilizado globalmente, implementou a E2EE como padrão em conversas e chamadas privadas no final de 2023.
Contudo, chamadas de grupo inicialmente não possuem essa camada de segurança, permitindo o uso de funcionalidades indisponíveis em chats criptografados, como reações de emojis. Foi justamente essa brecha que permitiu a exploração.
F_fe0fACE_WITH_COLON_THREE
. Essa entrada malformada causava falhas nos dispositivos iOS conectados à chamada;Embora essa vulnerabilidade não permitisse a execução remota de código (RCE, na sigla em inglês), ela demonstrou lacunas na segurança de recursos não criptografados do Messenger.
O problema foi agravado pela randomização do layout do espaço de endereço (ASLR na sigla em inglês), que dificultava o rastreamento do código problemático.
Após a investigação, a Meta implementou correções nas versões mais recentes do aplicativo, reforçando a validação de entrada para reações de emojis. A empresa também recomenda que os usuários atualizem seus aplicativos para evitar possíveis ataques.
A descoberta enfatiza a importância de testes rigorosos, mesmo para recursos aparentemente simples, como reações de emojis. A adoção de E2EE para chats em grupo também é recomendada para reduzir vulnerabilidades em funcionalidades não criptografadas.
Esse incidente sublinha a necessidade de priorizar a segurança em cada detalhe de aplicativos amplamente utilizados, protegendo tanto a experiência do usuário, quanto a integridade do sistema.
O Olhar Digital entrou em contato com a Meta e aguarda retorno.
Matéria em atualização
Fonte: Olhardigital