Un fallo de Messenger ha permitido a los hackers escucharnos antes de responder una llamada

Las llamadas de voz IP se han convertido en algo muy habitual en la actualidad. Lo que hace 20 años parecía algo solo reservado a los más obsesionados con la tecnología, ahora está al alcance de todos gracias a apps como WhatsApp, que ofrecen una manera sencilla de llamar a otras personas gracias a esta tecnología, y con un precio mucho más reducido. Pues bien, apps como Messenger también ofrecen esta funcionalidad que disfrutamos en WhatsApp, y son capaces de permitirnos disfrutar de llamadas con bastante calidad. El problema a veces de este tipo de llamadas es que puedan acceder a ellas hackers a través de las conexiones de datos o Wifi.

En la versión de Messenger para Android

Ha sido la integrante del equipo de Project Zero de Google, una organización dedicada a buscar fallos y errores en todo tipo de apps, la que ha advertido de esta grave vulnerabilidad de la app de mensajería de Facebook en su versión de Android. Este fallo permitía a los hackers hacer llamadas a un usuario de la app y escucharlo incluso antes de que pudiera responder, accediendo a todo el sonido de ambiente alrededor del micrófono del terminal. Este fallo afecta la versión 284.0.0.16.119 de Facebook y las anteriores.

Según uno de los responsables de seguridad de Facebook “Sería entonces el momento de desencadenar un escenario en el que, mientras que el dispositivo esté sonando, la persona que llama podría recibir el audio hasta que la persona a la que se está llamando contesta a ella. Por tanto durante ese intervalo de tiempo podría estar escuchando todo lo que dice esa persona o las que le acompañan alrededor suyo y que estén cerca del teléfono en ese momento.

Parece ser que el fallo reside en el protocolo de descripción de sesión, de tal manera que el atacante con un tipo determinado de mensaje puede acceder directamente a la señal de audio que la app está ya grabando en el teléfono de la víctima. Mientras se realiza la llamada y el teléfono suena, el atacante puede enviar uno de estos mensajes para comenzar a escuchar el sonido que rodea a la víctima. Lógicamente un ataque de este tipo podría desvelar detalles del entorno de la víctima, pudiendo escuchar con claridad todo lo que ocurre alrededor, como si de una llamada más se tratara.

Esta brecha de seguridad nos recuerda mucho a la sufrida por Apple el pasado año con su Facetime. Un servicio de videollamdas que tuvo que ser cancelado por Apple en su modalidad de grupo de forma temporal, hasta que pudo resolver el problema. Entonces también se podía escuchar lo que pasaba alrededor de la persona a la que llamábamos incluso antes de que esta pudiera responder, que es lo mismo que ocurre en este caso de Facebook, donde el problema es bastante similar por el momento. Afortunadamente el problema se ha resuelto, gracias a la investigadora de Google que ahora ha recibido una recompensa de 60.000 dólares por haber encontrado este fallo.