Грешка във Facebook Messenger разкрива на кого са разговаряли потребителите

Точно вчера Марк Зукърбърг представи своята визия за новото фокусирано върху поверителността бъдеще на Facebook. В случай, че сте го пропуснали, предложението се съсредоточава около частни, интимни взаимодействия в рамките на шифровани разговори.

По-малко от 24 часа след тържествения обет на основателя и изпълнителния директор, стана ясно, че грешка във Facebook Messenger е могла да позволи на хакерите да видят с кого точно са разговаряли потребителите.

Сега разрешеният недостатък беше открит от изследователи, които сега публикуваха информация за грешката, която отдели кои контакти на Facebook са разговаряли с потребител, използвайки Messenger. Въпреки че тази информация не включваше съдържанието на съобщенията, за някои потребители може да навреди на разкриването на тези данни.

В блог пост, Рон Масас от Imperva Research, очерта как базираната на браузър атака на странични канали нанася комуникация между акаунти във Facebook.

Свързани: Как да изтриете акаунт във Facebook за постоянно

Той обясни как хакерите могат да насочват уеб браузъра на потребителя и да използват iFrame елементи за поставяне на този на човека Facebook се свързва в два списъка, единият съдържа хора, с които са общували, и друг от тези, с които са не беше.

В публикацията в блога (чрез Engadget) той написа:

„Започнах да се заяждам около уеб приложението Messenger и забелязах, че iframe елементите доминират в потребителския интерфейс. Кутията за чат, както и списъкът с контакти, бяха изобразени в рамки, отваряйки възможността за CSFL атака.

„Започнах да ровя в тези три рамки, за да разбера как, защо и кога са заредени. Реших да запиша данните за броя на вградените рамки във времето за възможно най-много крайни точки, с цел да разкрия интересни и откриваеми състояния.

„След няколко теста започнах да разглеждам крайната точка на разговора, записах данни в„ пълно състояние “, което означава страници, които биха заредили моя разговор с потребител, с когото съм бил в контакт, и някои данни за „празно състояние“, показващи разговори с потребители, с които никога не съм бил свързан. "

Masas съобщи за заплахата за Facebook в рамките на своята програма за отговорно разкриване. Той каза, че Facebook бързо е решил проблема, като е счупил доказателството си за концепция. След като модифицира алгоритъма, за да заобиколи придвижването, Facebook в крайна сметка премахна всички iFrame елементи от потребителския интерфейс на Messenger.

Изглежда, че компанията все още има малък път, за да осъзнае това сигурно бъдеще за своите потребители, а?

Доверявате ли се на обета на Зукърбърг да изчисти постъпката на Facebook? Уведомете ни @TrustedReviews в Twitter.