O melhor pedaço da Maçã.
Diego Thomazini / Shutterstock.com
Mão segurando um iPhone com o Facebook Messenger abrindo

Brecha no Facebook Messenger afetava ligações em grupo no iOS

Um ataque de negação de serviço (Denial of Service, ou DoS) foi descoberto no Facebook Messenger para iOS, o qual permitia a interrupção de chamadas em grupo através de reações de emojis inválidas. A vulnerabilidade, identificada pela Signal 11 Research, foi corrigida pela Meta em versões mais recentes do aplicativo.

Publicidade

A vulnerabilidade explorava uma brecha no processamento de reações de emojis durante chamadas em grupo. Ao enviar uma reação de emoji inválida, o mensageiro falhava em validar a entrada, levando a uma condição que interrompia a chamada e travava o aplicativo. Esse bug afetou dispositivos iOS, enquanto aparelhos com Android não tiveram o mesmo problema.

A causa raiz da vulnerabilidade foi atribuída à falta de validação de entrada de chats de grupo não criptografados. O Messenger introduziu criptografia de ponta a ponta (E2EE) padrão para chats e chamadas em dezembro de 2023, mas conversas em grupo inicialmente não têm E2EE, permitindo acesso a recursos indisponíveis em chats criptografados.

A Signal 11 Research utilizou engenharia reversa e análise dinâmica para identificar a vulnerabilidade. Eles modificaram o método sendEmoji para enviar sequências de emojis inválidas, provocando a falha do aplicativo.

Como dito, a Meta já corrigiu o problema em versões mais recentes do Messenger para iOS, garantindo uma validação de entrada robusta para reações de emojis. Os usuários são aconselhados a atualizar seus aplicativos para evitar uma potencial exploração da brecha.

Publicidade

Além disso, habilitar E2EE para chats em grupo pode mitigar riscos semelhantes vinculados a recursos não criptografados.

via Cyber Security News

Ver comentários do post

Compartilhe este artigo
URL compartilhável
Post Ant.

Spark lança +AI Meeting Notes para para gravar, transcrever e resumir reuniões

Próx. Post

SingleFile é uma extensão que facilita o download de páginas da web

Posts Relacionados