O pesquisador de segurança e youtuber Gabriel Pato encontrou uma vulnerabilidade no Facebook Gaming, plataforma de streaming de jogos do Facebook, que permitia a realocação de espectadores entre diferentes vídeos. Ao relatar a falha à rede social em sua plataforma de bug bounty e ter a vulnerabilidade verificada, Pato levou um prêmio de US$ 10 mil por seu trabalho.
A informação foi revelada pelo pesquisador de segurança em seu próprio canal no YouTube e no TecMundo Entrevista, que você confere ao final desta reportagem.
De acordo com Pato, a falha foi encontrada ao acaso, visto que ele não estava caçando bugs na plataforma. O hacker acompanhava o streaming via Facebook Gaming de sua esposa, Diana Zambrozuski, que também faz vídeos para a internet e testava um novo programa para overlay desenvolvido por Pato. Esse programa overlay serve para exibir informações na tela aos espectadores, algo que o Facebook Gaming ainda não oferece de maneira nativa.
A vulnerabilidade acontecia no recurso Stream Chaining do Facebook
“Para quem não está acostumado, durante lives de jogos, quando algum espectador envia uma doação, por exemplo, aparece uma animação lá na tela. Isso é o overlay”, explica Pato. “Eu desenvolvi um programinha pra ela que conseguia extrair esses dados e usá-los para animações de overlay que queriamos. Rapidamente outros streamers da plataforma se interessaram, e esse projeto foi utilizado por 35 influenciadores, inclusive os mais populares da plataforma”.
O pesquisador ainda conta que acabou lembrando do recurso "Stream Chaining" (aqui no Brasil popularmente conhecido por "gank" ou "host"), que é a função que possibilita um streamer a redirecionar seus espectadores à live de outro influenciador. “É usado quando o influenciador está terminando sua transmissão e quer passar seu público para algum amigo influenciador que esteja ao vivo”, adiciona.
Vulnerabilidade
A hipótese da falha surgiu neste momento. “Pensei que seria muito interessante se desse pra explorar esse recurso de forma que eu pudesse usá-lo em transmissões que eu não tenho autorização, redirecionando espectadores de lives de terceiros para onde eu quisesse. Resolvi, então, momentaneamente pausar o desenvolvimento do projeto que eu estava trabalhando pra sanar minha curiosidade e olhar para esse recurso”.
A falha era extremamente simples, explica Pato. Segundo ele, o Facebook não fazia todas as verificações necessárias dos dados recebidos no request do recurso do Stream Chaining. Para acionar o recurso, a plataforma, nos bastidores, recebe os seguintes parâmetros do usuário:
- O ID da transmissão a ser redirecionada
- O ID da página do usuário solicitante
- *O ID da página de destino dos espectadores
“Apesar da plataforma verificar se o usuário solicitante é administrador da página informada, a aplicação não verifica se o ID da transmissão informado pertence, de fato, à página do usuário solicitante”, explica o pesquisador. “Logo, é possível informar IDs de transmissões de terceiros, e usar um ID de uma página qualquer que temos nível de administrador, e a plataforma aceitava a solicitação e redirecionava os espectadores da vítima pra página que desejamos”.
Com essa descoberta, Gabriel Pato levou a vulnerabilidade para a equipe do Facebook. Após análise e constatação, a equipe bug bounty da rede social premiou o pesquisador com US$ 10 mil, pouco mais de R$ 45 mil na cotação atual do dólar.
Acompanhe abaixo mais detalhes no TecMundo Entrevista:
Categorias
