Um ataque de negação de serviço (Denial of Service, ou DoS) foi descoberto no Facebook Messenger para iOS, o qual permitia a interrupção de chamadas em grupo através de reações de emojis inválidas. A vulnerabilidade, identificada pela Signal 11 Research, foi corrigida pela Meta em versões mais recentes do aplicativo.
A vulnerabilidade explorava uma brecha no processamento de reações de emojis durante chamadas em grupo. Ao enviar uma reação de emoji inválida, o mensageiro falhava em validar a entrada, levando a uma condição que interrompia a chamada e travava o aplicativo. Esse bug afetou dispositivos iOS, enquanto aparelhos com Android não tiveram o mesmo problema.
A causa raiz da vulnerabilidade foi atribuída à falta de validação de entrada de chats de grupo não criptografados. O Messenger introduziu criptografia de ponta a ponta (E2EE) padrão para chats e chamadas em dezembro de 2023, mas conversas em grupo inicialmente não têm E2EE, permitindo acesso a recursos indisponíveis em chats criptografados.
A Signal 11 Research utilizou engenharia reversa e análise dinâmica para identificar a vulnerabilidade. Eles modificaram o método sendEmoji para enviar sequências de emojis inválidas, provocando a falha do aplicativo.
Como dito, a Meta já corrigiu o problema em versões mais recentes do Messenger para iOS, garantindo uma validação de entrada robusta para reações de emojis. Os usuários são aconselhados a atualizar seus aplicativos para evitar uma potencial exploração da brecha.
Além disso, habilitar E2EE para chats em grupo pode mitigar riscos semelhantes vinculados a recursos não criptografados.