Uma nova vulnerabilidade encontrada em softwares de mensagens como Messenger, Google Duo e Signal permitia a gravação de usuários.
Uma equipe de pesquisadores do Google revelou uma vulnerabilidade em alguns dos aplicativos de mensagens instantâneas mais usados, como Messenger e Signal.
Essa é a descoberta de um pesquisador do Project Zero, projeto do Google que reúne especialistas em segurança para encontrar problemas e bugs em programas e na Internet. Por exemplo, membros do Project Zero descobriram a maior vulnerabilidade de processador da história.
Os bugs descobertos pela pesquisadora Natalie Silvanovich em sete aplicativos de mensagens instantâneas poderiam ter sido ainda mais perigosos, pois permitiam que os invasores gravassem áudios e vídeos usando o dispositivo da vítima, sem que ela precisasse fazer nada e sem o consentimento da vítima.
O Google descobriu bugs graves em aplicativos de mensagens
A investigação começou quando, em janeiro de 2019, foi revelado que um bug no iPhone nos permitia ouvir e ver a pessoa para quem estávamos ligando, antes que ela atendesse a ligação.
Segundo Silvanovich, uma vulnerabilidade tão séria e ao mesmo tempo fácil de usar, ocorrida por causa de um bug lógico, o fez pensar se ele poderia encontrar algo semelhante em outras plataformas.
E, de fato, depois de analisar alguns dos aplicativos de mensagens da indústria que permitem chamadas e vídeo chamadas, ele descobriu que muitos tinham bugs semelhantes. Isso porque a maioria dos aplicativos de mensagens usa WebRTC, um padrão de comunicação em tempo real que permite a conexão entre duas entidades.
Como resultado, esses aplicativos tinham várias falhas de segurança, permitindo que um invasor fizesse a conexão antes mesmo que o usuário que a recebesse tivesse que aceitá-la; com isso, pode gravar áudio e até vídeo diretamente do smartphone, além de afetar seu funcionamento.
O sinal também é afetado pela vulnerabilidade
Um dos aplicativos da lista de afetados é o Signal, que recentemente teve um crescimento espetacular graças justamente à sua apresentação como uma alternativa mais segura para o WhatsApp ou Telegram. Nesse caso, a vulnerabilidade permitia que um invasor ouvisse diretamente pelo microfone do dispositivo, já que o aplicativo não verificava quem estava fazendo a chamada. Este problema foi resolvido graças a uma atualização publicada em setembro de 2019; além disso, o Signal não usa mais o WebRTC para fazer conexões.
Em contraste, outros aplicativos demoraram um pouco mais para corrigir seus bugs; ironicamente, o Google Duo foi o mais recente, corrigindo em dezembro de 2020 um problema que filtrava pacotes de dados de vídeo de chamadas não atendidas.
O Facebook Messenger é outro aplicativo popular afetado, que corrigiu o problema em novembro de 2020; neste caso, o invasor pode iniciar uma chamada e ao mesmo tempo enviar uma mensagem ao alvo, fazendo com que o aplicativo comece a enviar som ao invasor sem mostrar a chamada na tela.
Diz muito sobre a seriedade do problema que o Projeto Zero tenha decidido não tornar esses problemas públicos até agora. O Google iniciou o projeto com uma política altamente polêmica, de publicar as vulnerabilidades descobertas em 90 dias, independentemente de terem sido corrigidas; por exemplo, quando publicou como contornar as limitações do Windows 10S antes que a Microsoft pudesse publicar o patch.
No entanto, este caso parece ter sido sério o suficiente para o Google ter esperado até que todos os aplicativos (incluindo o seu próprio) tivessem sido corrigidos.