De bug van Facebook Messenger onthulde met wie gebruikers aan het chatten waren

Gisteren leverde Mark Zuckerberg zijn visie op het nieuwe privacygerichte toekomst van Facebook. Voor het geval je het hebt gemist, draait het voorstel om persoonlijke, intieme interacties binnen gecodeerde gesprekken.

Minder dan 24 uur na de plechtige belofte van de oprichter en CEO, is gebleken dat een bug in Facebook Messenger hackers in staat had kunnen stellen precies te zien met wie gebruikers in gesprek waren.

De nu opgeloste fout werd ontdekt door onderzoekers, die nu inzicht in de bug hebben gepubliceerd, waarin werd aangegeven met welke Facebook-contacten een gebruiker had gesproken via Messenger. Hoewel die informatie niet de inhoud van berichten omvatte, kan het voor sommige gebruikers schadelijk zijn als deze gegevens worden onthuld.

In een blogpostRon Masas van Imperva Research schetste hoe een browsergebaseerde side channel-aanval de communicatie tussen Facebook-accounts in kaart bracht.

Verwant: Hoe u een Facebook-account permanent kunt verwijderen

Hij legde uit hoe hackers de webbrowser van een gebruiker kunnen targeten en iFrame-elementen kunnen gebruiken om die van de persoon te plaatsen Facebook-contacten in twee lijsten, een met mensen met wie ze hadden gecommuniceerd en een met degenen met wie ze hadden gecommuniceerd had niet.

In de blogpost (via Engadget) schreef hij:

“Ik begon rond te snuffelen in de Messenger-webapplicatie en merkte dat iframe-elementen de gebruikersinterface domineerden. De chatbox en de lijst met contactpersonen werden weergegeven in iframes, waardoor de mogelijkheid ontstond voor een CSFL-aanval.

“Ik ben in die drie iframes gaan graven om te begrijpen hoe, waarom en wanneer ze worden geladen. Ik besloot om de iframe-telgegevens in de loop van de tijd vast te leggen voor zoveel mogelijk eindpunten die ik kon vinden, met als doel interessante en detecteerbare toestanden te ontdekken.

"Na een paar tests begon ik het gesprekseindpunt te onderzoeken, ik nam gegevens over 'volledige status' op, wat betekent dat pagina's mijn gesprek met een gebruiker waarmee ik contact heb gehad, en enkele 'lege status'-gegevens, die gesprekken tonen met gebruikers die ik nog nooit heb gehad gecontacteerd."

Masas meldde de dreiging aan Facebook in het kader van zijn programma voor verantwoordelijke openbaarmaking. Hij zei dat Facebook het probleem snel had opgelost door zijn proof of concept te doorbreken. Nadat hij het algoritme had aangepast om rond te komen, verwijderde Facebook uiteindelijk alle iFrame-elementen uit de gebruikersinterface van Messenger.

Het lijkt erop dat het bedrijf nog een lange weg te gaan heeft om die veilige toekomst voor zijn gebruikers te realiseren, toch?

Vertrouw je op de belofte van Zuckerberg om de actie van Facebook op te ruimen? Laat het ons weten @TrustedReviews op Twitter.