Facebook Messenger -vika paljasti kenen käyttäjät olivat keskustelleet
Juuri eilen Mark Zuckerberg toimitti näkemyksensä uudesta yksityisyyden suojaan keskittyvä Facebookin tulevaisuus. Jos unohdit sen, ehdotus keskittyy yksityisiin, läheisiin vuorovaikutuksiin salattujen keskustelujen sisällä.
Alle 24 tuntia perustajan ja toimitusjohtajan juhlallisen lupauksen jälkeen on käynyt ilmi, että Facebook Messengerin vika olisi voinut antaa hakkereille mahdollisuuden nähdä tarkalleen, kenen käyttäjien kanssa oli keskusteltu.
Tutkijat löysivät nyt ratkaistun virheen, ja he ovat nyt julkaisseet virheen, jossa erotettiin, mihin Facebook-kontakteihin käyttäjä oli puhunut Messengerin avulla. Vaikka tämä tieto ei sisältänyt viestien sisältöä, se saattaa olla haitallista joillekin käyttäjille näiden tietojen paljastamiseksi.
Jonkin sisällä blogipostausImperva Researchin Ron Masas kertoi kuinka selainpohjainen sivukanavan hyökkäys kartoitti Facebook-tilien välistä viestintää.
Liittyvät: Kuinka poistaa Facebook-tili pysyvästi
Hän selitti, kuinka hakkerit voivat kohdistaa käyttäjän verkkoselaimeen ja sijoittaa henkilön iFrame-elementtejä Facebook-yhteystiedot kahteen luetteloon, joista toinen sisältää ihmisiä, joiden kanssa he ovat olleet yhteydessä, ja toinen niistä, joiden kanssa he ovat ei ollut.
Blogikirjoituksessa (Engadgetin kautta) hän kirjoitti:
”Aloin torkkia Messenger-verkkosovelluksen ympärillä ja huomasin, että iframe-elementit hallitsivat käyttöliittymää. Keskusteluruutu ja kontaktiluettelo hahmonnettiin iframe-kehyksissä, mikä avasi mahdollisuuden CSFL-hyökkäykseen.
”Aloin kaivaa näitä kolmea iframe-kehystä ymmärtääksesi, miten, miksi ja milloin ne ladataan. Päätin tallentaa iframe-laskentatiedot ajan myötä niin monelle löydetylle päätepisteelle, jonka tarkoituksena on paljastaa mielenkiintoiset ja havaittavat tilat.
"Muutaman testin jälkeen aloin tutkia keskustelun päätepistettä, kirjain" koko tila "-tietoja, eli sivuja, jotka lataavat keskustelu käyttäjän kanssa, jonka kanssa olen ollut yhteydessä, ja joitain tyhjää tilaa koskevia tietoja, jotka osoittavat keskusteluja käyttäjien kanssa, joita en ole koskaan käynyt yhteyttä. "
Masas ilmoitti uhasta Facebookille vastuullisen paljastusohjelmansa puitteissa. Hän sanoi, että Facebook korjasi ongelman nopeasti rikkomalla hänen todisteensa konseptista. Kun hän on muokannut algoritmia kiertääksesi kiertämisen, Facebook lopulta poisti kaikki iFrame-elementit Messenger-käyttöliittymästä.
Näyttää siltä, että yrityksellä on vielä pieni tapa edetä ymmärtääkseen sen turvallinen tulevaisuus käyttäjilleen, vai mitä?
Luotteko Zuckerbergin lupaukseen puhdistaa Facebookin teko? Kerro meille @TrustedReviews Twitterissä.