Un bug di Messenger, la popolare applicazione di messaggistica di Facebook, consentiva agli hacker di ascoltare ciò che succedeva attorno allo smartphone semplicemente effettuando una chiamata al telefono della vittima, senza la necessità che questa rispondesse. Il bug, segnalato da Natalie Silvanovich del Project Zero di Google lo scorso 6 ottobre, ha impattato le versioni 284.0.0.16.119 e precedenti di Messenger per dispositivi Android. Facebook ha ora rilasciato un aggiornamento di sicurezza che ha risolto la problematica, che non dovrebbe quindi coinvolgere le versioni aggiornate dell'app.

La vulnerabilità consentiva agli hacker di chiamare un contatto e simultaneamente inviare un particolare messaggio a una vittima che doveva essere connessa a Messenger su smartphone e su PC, come spesso può accadere a casa o a lavoro. Grazie a questo messaggio un malintenzionato poteva ascoltare l'audio registrato dal telefono della vittima anche prima della risposta, cioè mentre il telefono stava ancora squillando. Questo ascolto poteva perdurare fino a quando il ricevente rispondeva oppure quando la chiamata si interrompeva.

Secondo la Silvanovich, la falla risiedeva in un protocollo WebRTC che consentiva all'attaccante di inviare uno speciale messaggio chiamato SdpUpdate che andava appunto a colpire il Session Description Protocol (SDP) e consentiva di connettere la chiamata al dispositivo bersagliato prima della risposta da parte della vittima. Solitamente le chiamate tramite WebRTC non trasmettono l'audio prima della risposta, ma attraverso l'utilizzo di questo messaggio gli hacker erano in grado di bypassare questa protezione portando alla connessione immediata dell'audio. La Silvanovich è stata ricompensata con un premio di 60.000 dollari, uno dei tre più alti rilasciati da Facebook.