Banner SEBRAE mulher- DZ
bannet Sesi 08.OUTUBRO
CESMAC 2024.4
bloco vou ali 728

Facebook Messenger do iOS tem vulnerabilidade em chamadas de grupo; entenda

Pesquisadores descobriram vulnerabilidade no Facebook Messenger para iOS que permitia interromper chamadas em grupo ao manipular reações de emojis.

Por Adeilson em 12/12/2024 às 18:40:14

Pesquisadores descobriram vulnerabilidade no Facebook Messenger para iOS que permitia interromper chamadas em grupo ao manipular reações de emojis.

Segundo o Cyber Security News, a falha, categorizada como um ataque de negação de serviço (DoS, na sigla em inglês), foi identificada pela Signal 11 Research nas versões 472.0.0 e 477.0.0 do aplicativo. Embora a Meta já tenha corrigido o problema, o caso expõe riscos associados a chats em grupo sem criptografia de ponta a ponta (E2EE).

O Messenger, amplamente utilizado globalmente, implementou a E2EE como padrão em conversas e chamadas privadas no final de 2023.

Contudo, chamadas de grupo inicialmente não possuem essa camada de segurança, permitindo o uso de funcionalidades indisponíveis em chats criptografados, como reações de emojis. Foi justamente essa brecha que permitiu a exploração.

Como a falha do Messenger foi explorada

  • Por meio de engenharia reversa e análise dinâmica, os pesquisadores identificaram que as reações de emojis em chamadas de grupo eram processadas pelas classes SendEmojiInputModel e ReactionsApi$CProxy. Essas classes transmitiam dados dos emojis aos dispositivos dos participantes da chamada;
  • Utilizando ferramentas, como o Frida, os especialistas interceptaram e alteraram o método sendEmoji para enviar emojis inválidos, representados por sequências hexadecimais incompatíveis com caracteres Unicode, como F_fe0fACE_WITH_COLON_THREE. Essa entrada malformada causava falhas nos dispositivos iOS conectados à chamada;
  • Enquanto o dispositivo Android usado para enviar o emoji inválido também travava, os demais participantes com Android permaneciam operacionais;
  • A falha ocorria porque o Messenger não validava adequadamente os dados recebidos, permitindo que uma entrada corrompida interrompesse a execução do aplicativo nos dispositivos afetados.

Implicações e medidas corretivas

Embora essa vulnerabilidade não permitisse a execução remota de código (RCE, na sigla em inglês), ela demonstrou lacunas na segurança de recursos não criptografados do Messenger.

O problema foi agravado pela randomização do layout do espaço de endereço (ASLR na sigla em inglês), que dificultava o rastreamento do código problemático.

Após a investigação, a Meta implementou correções nas versões mais recentes do aplicativo, reforçando a validação de entrada para reações de emojis. A empresa também recomenda que os usuários atualizem seus aplicativos para evitar possíveis ataques.

Lições aprendidas

A descoberta enfatiza a importância de testes rigorosos, mesmo para recursos aparentemente simples, como reações de emojis. A adoção de E2EE para chats em grupo também é recomendada para reduzir vulnerabilidades em funcionalidades não criptografadas.

Esse incidente sublinha a necessidade de priorizar a segurança em cada detalhe de aplicativos amplamente utilizados, protegendo tanto a experiência do usuário, quanto a integridade do sistema.

O que diz a Meta

O Olhar Digital entrou em contato com a Meta e aguarda retorno.

Matéria em atualização

Fonte: Olhardigital

Comunicar erro
banner tvsampaio 728x90 - local 6
CAMPOS
Banner SEBRAE homem- DZ
CESMAC 2024.4

Comentários

banner TAVARES - 728X90 - 2
banner tv sampaio - local 3
p.contas GOV
GOV - faz faz faz
PROMETEU E FEZ 02.08
CAMARA DEZEMBRO - Web Banner 3: TEA