Bug descoperit în Facebook Messenger, mesajele utilizatorilor - ușor de văzut

Bug descoperit în Facebook Messenger, mesajele utilizatorilor - ușor de văzut
scris 9 mar 2019

Cel mai popular serviciu de comunicare, Facebook Messenger, a avut un bug prin care un atacator putea afla exact cu cine a schimbat mesaje un anumit utilizator.

Bug-ul, descoperit de experții în securitate de la Imperva și reparat între timp de Facebook, profita de o vulnerabilitate din CSFL (cross-site frame leakage) - componenta folosită pentru integrarea Facebook Messenger în paginile web.

Ron Masas de la Imperva a explicat că un atac care viza componenta CSFL putea exploata proprietățile unui iFrame pentru a afla statutul unei aplicații.

Prin targetarea unei persoane din lista de contacte, atacatorul putea obține un răspuns pozitiv sau negativ, aflând astfel dacă utilizatorul a comunicat sau nu cu persoana respectivă. Repetând atacul, hackerul putea chiar să dobândească întreaga listă de persoane cu care un utilizator a comunicat.

Facebook a șters 31 de pagini și conturi din România CITEȘTE ȘI Facebook a șters 31 de pagini și conturi din România

Partea pozitivă este că atacul nu dădea acces decât la numele celor cu care s-a comunicat, nu și la conținutul propriu-zis al comunicărilor (text, imagini etc).

Pentru că nu era prima oară când a fost descoperită o problemă care implica iFrame-urile, Facebook a decis între timp să elimine complet această componentă din Messenger.

În luna noiembrie, tot cei de la Imperva au descoperit un bug prin care site-urile web care rulau plugin-uri Facebook puteau fi folosite pentru a extrage date din profilurile personale ale utilizatorilor de Facebook.

Experții în securitate sunt de părere că atacurile prin intermediul browser-elor sunt privite cu superficialitate de majoritatea companiilor. Aceștia spun că, deși giganți precum Google și Facebook rezolvă rapid majoritatea problemelor de acest gen, celelalte companii din industrie nu au conștientizat încă acest pericol.

viewscnt

Informaţiile publicate de Profit.ro pot fi preluate doar în limita a 500 de caractere şi cu citarea în lead a sursei cu link activ. Orice abatere de la această regulă constituie o încălcare a Legii 8/1996 privind dreptul de autor.

Afla mai multe despre
facebook
messenger
bug
securitate