Resumen
Facebook Messenger para Android se puede bloquear a través de la verificación de estado de la aplicación. Esto puede ser explotado por un atacante de MITM interceptando esa llamada y devolviendo una gran cantidad de datos. Esto sucede porque esta comprobación de estado no se realiza a través de SSL y la aplicación no contiene lógica para verificar si los datos devueltos son muy grandes.
El vendedor no tiene planes inmediatos para solucionar este problema.
Detalles de vulnerabilidad
Facebook Messenger para Android es una aplicación de mensajería proporcionada por Facebook. Al monitorear el tráfico de red de un dispositivo de prueba que ejecuta Android, observamos que la aplicación realiza llamadas de red para verificar el estado del servidor. Esta llamada se realizó a través de HTTP sin el uso de SSL / TLS. URL de ejemplo:
http://portal.fb.com/mobile/status.php
Tuvimos éxito al bloquear la aplicación al inyectar un paquete grande porque la aplicación no maneja datos grandes que regresan correctamente y no usa SSL para esta llamada.
También es importante tener en cuenta que esto le permitiría a alguien bloquear el uso de Messenger pero sin que los usuarios se den cuenta de que están siendo bloqueados, ya que atribuirán la falla de la aplicación a un error en lugar de a un bloqueo.
Más información:
http://seclists.org/fulldisclosure/2018/Jul/37?utm_source=feedburner&utm_medium=twitter&utm_campaign=Feed%3A+seclists%2FFullDisclosure+%28Full+Disclosure%29
https://wwws.nightwatchcybersecurity.com/2018/07/09/advisory-crashing-facebook-messenger-for-android-with-an-mitm-attack/
Saludos.