Image default
Security

Facebook Messenger: Falha permite que suas mensagens de áudio sejam ouvidas por terceiros

A maioria das pessoas não gosta de escrever mensagens longas em aplicativos do gênero, mas graças ao recurso de gravação de voz fornecido pelo WhatsApp e Facebook Messenger, fica mais fácil para os usuários enviarem mensagens longas.[su_spacer size=”15″]

Se você tem o hábito de enviar áudios em vez de digitar longas mensagens para seus amigos no Facebook Messenger, saiba que está suscetível a um ataque simples de main-in-the-middle (MITM ou Homem-no-meio) que pode ser utilizado pelos atacantes para ter acesso aos áudios privados.[su_spacer size=”15″]

O mais preocupante é que o problema ainda não foi corrigido[su_spacer size=”15″]

O pesquisador egípcio de segurança Mohamed A. Baset informou ao site The Hacker News sobre uma falha no recurso de gravação de áudio do Facebook Messenger que poderia supostamente permitir que qualquer atacante utilizando a técnica de man-in-the-middle capture seus arquivos de áudio do servidor do Facebook e ouça suas mensagens de voz pessoais.[su_spacer size=”15″]

Entendendo como funciona o ataque[su_spacer size=”15″]

Veja como os invasores podem ouvir seus áudios enviados pelo Facebook Messenger:[su_spacer size=”15″]

Fonte: The Hacker News

[su_spacer size=”15″]Sempre que você grava uma mensagem de áudio para enviá-lo a um(a) amigo(a), o arquivo de áudio é carregado no CDN (Content Delivery Network, Rede de Entrega de Conteúdo) do Facebook (ou seja, algo como https://z-1-cdn.fbsbx.com/…), de onde ele disponibiliza o mesmo árquivo de áudio (por HTTPS), tanto para o remetente como para o destinatário.[su_spacer size=”15″]

Agora, qualquer atacante, executando o ataque MITM através da ferramenta SSLStrip, poderá realmente extrair os links absolutos (incluindo o token de autenticação secreto incorporado na URL) para todos os arquivos de áudio trocados entre o remetente e o destinatário. Em seguida, o atacante faz o downgrade dos links absolutos de HTTPS para HTTP, podendo transferir diretamente esses arquivos de áudio sem qualquer autenticação.[su_spacer size=”15″]

Como deve estar se perguntando como os atacantes foram capazes de fazer o download de seus arquivos de áudio tão facilmente.[su_spacer size=”15″]

O que aconteceu de errado?[su_spacer size=”15″]

Isso ocorre porque o CDN do Facebook não impõe uma política de Segurança Rigorosa no Transporte de HTTP, ou HSSS (HTTP Strict Transport Security), que força os navegadores ou agentes de usuários se comunicarem com servidores web somente por meio de conexões HTTPS e ajuda os sites a se protegerem contra ataques de downgrade de protocolo.[su_spacer size=”15″]

Em segundo lugar, a falta de uma autenticação adequada e eficaz. Um arquivo foi compartilhado entre dois usuários do Facebook não deve ser acessível por mais ninguém além deles, mesmo que alguém tenha a URL absoluta para o seu arquivo (que também inclui um token secreto para acessá-lo).[su_spacer size=”15″]

Como exemplo, Mohamed enviou um áudio para um de seus amigos no Facebook Messenger. Aqui está o link absoluto para o arquivo de áudio (não funciona mais) extraído através do ataque MITM, e que qualquer pessoa poderá baixar do servidor do Facebook, mesmo você, sem qualquer autenticação.[su_spacer size=”15″]

“Requisições GET podem ser armazenadas pelos navegadores em seu cache e no histórico. É aconselhável ter esses arquivos enviados via requisições POST com um token anti-CSRF implementado”, disse Mohamed ao site The Hacker News.[su_spacer size=”15″]

Falha ainda não corrigida e nenhuma recompensa pelo bug[su_spacer size=”15″]

[su_spacer size=”15″]Mohamed relatou o problema ao Facebook. A empresa reconheceu, mas ainda não corrigiu o problema. O Facebook não ofereceu nenhuma recompensa ao pesquisador pela descoberta do bug, já que os ataques de downgrade de protocolo não estão incluídos em seu programa de recompensa de bugs.[su_spacer size=”15″]

Resposta da equipe de segurança do Facebook para Mohamed:[su_spacer size=”15″]

Estamos em processo de implementação do HSTS em vários subdomínios do facebook.com. O fato de não o termos implementado em subdomínios específicos não caracteriza como uma relatório válido no nosso programa.[su_spacer size=”15″]

Geralmente o envio de relatórios alegando que deveríamos utilizar mecanismos de defesa em profundidade como o HSTS não se qualifica a fazer parte de nosso programa. Tomamos decisões muito deliberadas sobre quando implementamos (ou não) proteções específicas, desse modo, relatórios sugerindo que falamos alterações não são qualificados.[su_spacer size=”15″]

Você pode ver no vídeo acima uma demonstração do ataque em ação.[su_spacer size=”15″]

O site The Hacker News entrou em contato com o Facebook sobre a resposta dada e atualizará a história assim que a empresa diga algo. É nós do blog O Analista manteremos você informado(a).[su_spacer size=”15″]

Fonte:[su_spacer size=”15″]

http://thehackernews.com/2017/01/facebook-video-recording-hack.html

[su_spacer size=”15″]

OBS: Após a escrita deste post, percebi que o link original (do The Hacker News) era direcionado para sua página principal e não para o post em questão.

Posts similares

Ferramenta Hashcat é disponibilizada sob licença de código aberto

O Analista

Conheça o Tox Messenger, uma alternativa segura ao Skype

O Analista

DiskFiltration: Ruído produzido por disco rígido permite o roubo de informações

O Analista