Este fallo de seguridad en Facebook Messenger piratea tus mensajes de voz
Cualquier hacker novato puede escuchar lo que dices.
Al principio el icono de micro al lado de la barra de mensajes que veíamos en WhatsApp era algo que nos molestaba, porque era muy fácil equivocarse y acabar enviando una nota de audio en vez de un mensaje de texto. Pero actualmente se ve más por la calle gente grabando mensajes de voz que escribiendo, y las notas de audio se han vuelto indispensables para muchos. Pero cuidado, porque en el Messenger de Facebook se pueden hackear de una forma tan sencilla que incluso el pirata más novato con el programa adecuado lo tiene fácil.
Fallo de seguridad en Facebook Messenger
Mohamed A. Baset, un experto y consejero de ciberseguridad, ha encontrado una vulnerabilidad en Messenger dentro de la función para grabar los clips de audio. Y es tan sencilla de aprovechar que cualquiera puede hacerse con estos clips mediante un ataque con un programa en particular que no os contaremos aquí, pero que básicamente se aprovecha del problema que plantea el hecho de que el intercambio de los chats de voz sea desde un servidor HTTPS a uno HTTP. Esto le da oportunidad a cualquier atacante que entre en tu red de extraer enlaces que tienen el token de autenticación secreto de todos los archivos de audio intercambiados entre dos usuarios.
Facebook aún no ha implementado el protocolo de alta seguridad HSTS, que fuerza a un navegador a acceder a una web sólo mediante conexión HTTPS al tiempo que no permite una comunicación entre un servidor seguro y otro inseguro. El fallo es mayor debido al hecho de que Facebook tampoco tiene una autenticación apropiada, provocando que un pirata pueda acceder a estos clips de voz. ¿La respuesta de Facebook? Que a pesar de estar al tanto del problema, aún no han parcheado la vulnerabilidad ni parece que de momento vayan a hacerlo.
No interesa
Baset, el experto en seguridad, informó a los ingenieros de seguridad de Facebook sobre el problema hace tiempo, pero aunque están al tanto de ello, según Baset no han lanzado una actualización para solucionarlo: “El hecho de que no hemos lanzado (HSTS) en ningún subdominio en particular no constituye un reporte válido dentro de nuestro programa. En general, enviar avisos que pidan que deberíamos usar mecanismos de defensa más profundos como HSTS no serán tenidos en cuenta dentro de nuestro programa”. Los ingenieros señalan que ellos deciden el momento en que un tipo de protección debe ser lanzada, y por tanto los avisos de “que hagamos cambios generalmente no se tienen en cuenta“.
Así que de momento lo mejor es que tengáis cuidado con las notas de voz que enviáis por Facebook Messenger, ya que la vulnerabilidad se mantendrá hasta que decidan repararla.