As apps de comunicação são cada vez mais o centro de comunicação dos utilizadores dos smartphones e da Internet. Acessíveis em qualquer lugar, permitem falar com os nossos contactos de forma simples, fácil e rápida.
Não se esperam que sejam vulneráveis e que possam espiar os utilizadores, deixando-os vulneráveis. A verdade é que o Signal, o Facebook Messenger e o Google Duo estiveram com uma falha que permitia que os atacantes espiassem quem as usa.
Uma falha já conhecida do FaceTime
Apesar de não serem desejáveis, as falhas de segurança acontecem com alguma frequência. Surgem em muitos sistemas e afetam apps e outros softwares. A mais recente descoberta revelou que algumas das principais apps de comunicação estiveram expostas.
Estas falhas surgiram no seguimento de uma mais antiga e que afetou o FaceTime em 2019. Nessa altura o que foi revelado mostrava que o iPhone do destinatário das chamadas fosse comprometido. O seu áudio, e muito facilmente também o vídeo da câmara frontal, estava a ser transmitido sem que o utilizador se apercebesse.
Signal, Messenger e outras afetadas
Foi a investigadora de segurança Natalie Silvanovich, do Project Zero da Google que descobriu e revelou estas novas falhas. Ao testar a falha descoberta no FaceTime noutras apps acabou por descobrir que estas tinham o mesmo comportamento incorreto.
Em concreto sabe-se que o Signal, Facebook Messenger, Google Duo, JioChat e Mocha estavam vulneráveis a este ataque. Estas apps foram, entretanto, revistas e os problemas detetados corrigidos e as novas versões estão já com os utilizadores.
I found logic bugs that allow audio or video to be transmitted without user consent in five mobile applications including Signal, Duo and Facebook Messenger https://t.co/PlB0PzLzjJ
— Natalie Silvanovich (@natashenka) January 19, 2021
Possível intercetar a comunicação
Com o simples envio de pacotes específicos, era possível ativar o áudio ou o vídeo dos smartphones sem qualquer código remoto. Todas as apps tinham falhas semelhantes e que foram sendo corrigidas a longo do tempo, desde 2019 até ao final de 2020.
Esta investigadora procurou também falhas similares noutras apps de comunicação, como o Telegram ou o Viber. Felizmente, estas não revelaram nenhuma forma de explorar as chamadas de voz ou vídeo. Mais uma vez fica claro que mesmo com toda a segurança existente, estas falhas deixam os utilizadores expostos.