El error de Facebook Messenger expuso con quién habían estado chateando los usuarios
Ayer mismo, Mark Zuckerberg entregó su visión del nuevo futuro centrado en la privacidad de Facebook. En caso de que se lo haya perdido, la propuesta se centra en interacciones privadas e íntimas dentro de conversaciones cifradas.
Menos de 24 horas después de la promesa solemne del fundador y director ejecutivo, se descubrió que un error en Facebook Messenger podría haber permitido a los piratas informáticos ver exactamente con quién habían estado conversando los usuarios.
La falla ahora resuelta fue descubierta por investigadores, que ahora han publicado información sobre el error, que destacó con qué contactos de Facebook había hablado un usuario usando Messenger. Si bien esa información no incluía el contenido de los mensajes, podría ser perjudicial para algunos usuarios que se revelen estos datos.
en un entrada en el blog, Ron Masas de Imperva Research, describió cómo un ataque de canal lateral basado en navegador mapeó las comunicaciones entre las cuentas de Facebook.
Relacionado: Cómo eliminar una cuenta de Facebook de forma permanente
Explicó cómo los piratas informáticos podían dirigirse al navegador web de un usuario y utilizar elementos iFrame para colocar el Contactos de Facebook en dos listas, una con las personas con las que se habían comunicado y otra con las no lo había hecho.
En la publicación del blog, (a través de Engadget) escribió:
“Comencé a hurgar en la aplicación web Messenger y noté que los elementos iframe dominaban la interfaz de usuario. El cuadro de chat, así como la lista de contactos, se renderizaron en iframes, abriendo la posibilidad de un ataque CSFL.
“Comencé a investigar esos tres iframes para comprender cómo, por qué y cuándo se cargan. Decidí registrar los datos del recuento de iframe a lo largo del tiempo para tantos puntos finales que pudiera encontrar, con el objetivo de descubrir estados interesantes y detectables.
"Después de algunas pruebas, comencé a buscar en el punto final de la conversación, grabé datos de" estado completo ", es decir, páginas que cargarían mi conversación con un usuario con el que he estado en contacto, y algunos datos de "estado vacío", que muestran conversaciones con usuarios que nunca he contactado ".
Masas denunció la amenaza a Facebook bajo su programa de divulgación responsable. Dijo que Facebook solucionó rápidamente el problema al romper su prueba de concepto. Después de que modificó el algoritmo para moverse, Facebook finalmente eliminó todos los elementos de iFrame de la interfaz de usuario de Messenger.
Parece que la compañía todavía tiene un pequeño camino por recorrer para darse cuenta de ese futuro seguro para sus usuarios, ¿eh?
¿Confías en la promesa de Zuckerberg de limpiar la actuación de Facebook? Háganos saber @TrustedReviews en Twitter.