„Facebook Messenger“ klaida atskleidė, su kuo vartotojai kalbėjosi
Dar vakar Markas Zuckerbergas pristatė savo viziją į privatumą orientuota „Facebook“ ateitis. Jei praleidote, pasiūlyme daugiausia dėmesio skiriama privačiai, intymiai sąveikai užšifruotuose pokalbiuose.
Nepraėjus nė parai po įkūrėjo ir vadovo iškilmingo įžado paaiškėjo, kad „Facebook Messenger“ klaida galėjo įsilaužėliams tiksliai pamatyti, su kuo vartotojai kalbėjo.
Dabar pašalintą trūkumą atrado tyrėjai, kurie dabar paskelbė klaidos įžvalgą, kurioje išskyrė, su kuriais „Facebook“ kontaktais vartotojas kalbėjo naudodamasis „Messenger“. Nors toje informacijoje nebuvo pranešimų turinio, kai kuriems vartotojams gali būti žalinga atskleisti šiuos duomenis.
A tinklaraščio straipsnis, „Imperva Research“ Ronas Masasas apibūdino, kaip naršyklės šoninio kanalo ataka atvaizdavo ryšį tarp „Facebook“ paskyrų.
Susijęs: Kaip visam laikui ištrinti „Facebook“ paskyrą
Jis paaiškino, kaip įsilaužėliai galėjo nukreipti vartotojo interneto naršyklę ir naudoti „iFrame“ elementus, kad įdėtų asmens „Facebook“ kontaktai į du sąrašus, viename - žmonės, su kuriais jie bendravo, o kitame - su jais neturėjo.
Tinklaraščio įraše (per „Engadget“) jis rašė:
„Pradėjau baksnoti po„ Messenger “žiniatinklio programą ir pastebėjau, kad vartotojo sąsajoje dominuoja„ iframe “elementai. Pokalbių laukelis ir kontaktų sąrašas buvo perteikti „iframe“ formatu, atveriant CSFL atakos galimybę.
„Aš pradėjau kasti tuos tris„ iframe “, kad suprasčiau, kaip, kodėl ir kada jie kraunami. Aš nusprendžiau įrašyti „iframe“ skaičiaus duomenis laikui bėgant, kiek galėjau rasti galinių taškų, su tikslu atskleisti įdomias ir aptinkamas būsenas.
„Po kelių bandymų pradėjau ieškoti pokalbio taško, įrašiau„ visos būsenos “duomenis, tai reiškia puslapius, kurie įkeltų mano pokalbis su vartotoju, su kuriuo bendravau, ir kai kurie „tuščios būsenos“ duomenys, rodantys pokalbius su vartotojais, kurių niekada nebuvau susisiekė “.
„Masas“ pranešė apie grėsmę „Facebook“ pagal savo atsakingos informacijos atskleidimo programą. Jo teigimu, „Facebook“ greitai išsprendė problemą, sulaužydamas savo koncepcijos įrodymą. Po to, kai jis pakeitė algoritmą, kad galėtų apeiti, „Facebook“ galiausiai pašalino visus „iFrame“ elementus iš „Messenger“ vartotojo sąsajos.
Panašu, kad įmonė vis dar turi šiek tiek nuveikti, kad suprastų tą saugią savo vartotojų ateitį, ar ne?
Ar pasitikite Zuckerbergo priesaika išvalyti „Facebook“ veiksmus? Praneškite mums „Twitter“ apie „@ Trust_Reviews“.
