O Facebook revelou que solucionou um bug seriíssimo no Messenger, que permitia que um usuário escutasse tudo que acontece ao redor do celular de outra pessoa por algum tempo. A vulnerabilidade, na prática, permitia transformar o smartphone Android da vítima em uma escuta por um período.
Como informa o Bleeping Computer, a falha residia no sistema de chamadas de voz do Messenger. Ao enviar uma mensagem específica enquanto o aplicativo ainda está chamando, o sistema se confundia e começava a reproduzir o áudio da outra ponta antes de a chamada ser atendida, o que é uma violação grave de privacidade.
A vulnerabilidade foi relatada pelo Project Zero, a unidade do Google que busca descobrir falhas de segurança em aplicativos de outras empresas. Natalie Silvanovich, pesquisadora responsável pela descoberta, destaca que o método poderia ser usado por alguém mal intencionado para monitorar os arredores da pessoa para quem ele estava ligando antes que ela tivesse a oportunidade de atender a ligação.
A vulnerabilidade foi descoberta na versão 284.0.0.16.119 do Messenger para Android no mês passado. A falha, no entanto, não poderia ser explorada “por acaso”, exigindo uma série de comandos para preparar o terreno para poder ativá-la e poder escutar a pessoa do outro lado. O Facebook, após alertado, solucionou a brecha.
Por ter alertado o Facebook da falha, Silvanovich recebeu uma recompensa de US$ 60 mil. No entanto, ela não pretende ficar com o dinheiro, e doará a quantia em sua totalidade para a GiveWell Maximum Impact Fund, uma organização sem fins lucrativos que distribui os fundos recebidos a fundações beneficentes. Diante da ação, o Facebook decidiu igualar a doação, de forma que a GiveWell receberá um total de US$ 120 mil.