Em seguida, eles precisavam convidá-los para uma sala do Messenger por meio de um dispositivo separado e uma conta do Facebook, fazer uma chamada e atendê-la no dispositivo de destino antes de clicar no chat.
Uma vez que essas etapas foram realizadas, um invasor teria acesso ao dispositivo Android da vítima – sem a necessidade de desbloqueá-lo.
O mau ator poderia então vasculhar as fotos e vídeos pessoais da vítima, bem como publicar postagens na conta do alvo no Facebook.
Embora essa exploração exigisse acesso físico ao telefone Android de um alvo, o fato de ser capaz de contornar qualquer necessidade de desbloquear o dispositivo o tornava uma ameaça potencialmente perigosa e desagradável.
O Facebook recompensou Aryal com uma recompensa de $ 3.150 por trazer o problema à sua atenção, o que eles corrigiram rapidamente.