Segurança

Por Marcela Franco, para o TechTudo

TechTudo

Uma falha de segurança no Facebook dava acesso a fotos e vídeos do rolo da câmera do celular do usuário ao aceitar chamadas no Messenger Rooms pelo Android. A descoberta foi feita pelo pesquisador de segurança Samip Aryal e revelada na última semana. O profissional relatou a vulnerabilidade à companhia de Mark Zuckerberg, que corrigiu a falha rapidamente. Ayral foi recompensado com U$ 3 mil (cerca de R$ 15 mil) pelo alerta.

Falha no Messenger Rooms deixava contas de usuários do Facebook vulneráveis; entenda — Foto: Marvin Costa/TechTudo

Como conseguir a nova reação do Facebook? Descubra no Fórum do TechTudo.

A vulnerabilidade funcionava da seguinte maneira: o pesquisador criou uma sala no Messenger Rooms pelo computador e convidou um usuário de celular Android ao bate-papo. Depois, ele ligou para o usuário e, com o celular da vítima em mãos, atendeu a chamada antes de clicar na função de bate-papo. Ao tentar clicar no recurso "Assistir Juntos", era exigido o desbloqueio do celular por ser considerada uma função "sensível". No entanto, era possível acessar o chat do usuário mesmo com o smartphone bloqueado e, ao clicar no ícone da galeria, o rolo da câmera do aparelho era exibido.

De acordo com Samip Aryal, o problema de segurança foi descoberto após tentar acessar os recursos do Messenger Rooms que exigiam o desbloqueio de tela, como "Assistir Juntos" e "Adicionar Pessoas". Foi assim que ele observou um ícone de bate-papo no canto superior direito da tela da chamada e, ao tocar sobre ele, teve acesso à conversa sem precisar desbloquear o celular.

Vídeo postado pelo pesquisador Samip Aryal exibe falha de segurança do Messenger Rooms — Foto: Reprodução/Samip Aryal

“Descobri que podia acessar todas as fotos e vídeos privados naquele dispositivo sem nem mesmo desbloquear o telefone” explicou Aryal em seu blog. Além disso, a falha permitia que o invasor enviasse postagens para qualquer mídia clicando na opção "editar".

Segundo Aryal, a descoberta foi baseada em uma falha de segurança semelhante que ele encontrou no Messenger em outubro de 2020. A vulnerabilidade anterior consistia na exposição de vídeos privados armazenados e no acesso ao histórico de visualização durante uma conversa no Messenger pelo recurso "Assistir Juntos".

De acordo com pesquisador, a equipe de segurança do Facebook realizou as correções necessárias para impedir o acesso de terceiros às fotos e aos vídeos dos usuários do Messenger após o envio do relatório detalhado sobre a falha.

O Facebook enviou uma recompensa ao pesquisador equivalente a R$ 15 mil pela descoberta da falha de segurança — Foto: Reprodução/Samip Aryal

WhatsApp tem função para fazer chamadas de vídeo e voz no computador

WhatsApp tem função para fazer chamadas de vídeo e voz no computador

Mais do TechTudo