Błąd Facebook Messengera ujawnił, z kim rozmawiali użytkownicy
Zaledwie wczoraj Mark Zuckerberg przedstawił swoją wizję nowego przyszłość Facebooka skoncentrowana na prywatności. Jeśli tego nie zauważyłeś, propozycja koncentruje się na prywatnych, intymnych interakcjach w ramach zaszyfrowanych rozmów.
Niecałe 24 godziny po uroczystym przysiędze założyciela i dyrektora generalnego okazało się, że błąd w programie Facebook Messenger mógł umożliwić hakerom dokładne sprawdzenie, z kim rozmawiali użytkownicy.
Rozwiązaną w tej chwili usterkę odkryli badacze, którzy opublikowali informacje o błędzie, w których wskazali, z którymi kontaktami na Facebooku rozmawiał użytkownik za pomocą Messengera. Chociaż informacje te nie obejmowały treści wiadomości, ujawnienie tych danych może być dla niektórych użytkowników szkodliwe.
W post na blogu, Ron Masas z Imperva Research, opisał, jak atak na kanał boczny oparty na przeglądarce odwzorował komunikację między kontami na Facebooku.
Związane z: Jak trwale usunąć konto na Facebooku
Wyjaśnił, w jaki sposób hakerzy mogą atakować przeglądarkę internetową użytkownika i używać elementów iFrame do umieszczania tej osoby Kontakty z Facebooka na dwie listy, jedną zawierającą osoby, z którymi się komunikowali, a drugą z tymi, z którymi się komunikowali nie.
W poście na blogu (za pośrednictwem Engadget) napisał:
„Zacząłem grzebać w aplikacji internetowej Messenger i zauważyłem, że elementy iframe dominują w interfejsie użytkownika. Okno czatu, jak również lista kontaktów, zostały wyrenderowane w ramkach iframe, otwierając możliwość ataku CSFL.
„Zacząłem zagłębiać się w te trzy elementy iframe, aby zrozumieć, jak, dlaczego i kiedy są ładowane. Zdecydowałem się rejestrować dane zliczania elementów iframe w czasie dla jak największej liczby punktów końcowych, jakie mogłem znaleźć, w celu odkrycia interesujących i wykrywalnych stanów.
„Po kilku testach zacząłem przyglądać się punktowi końcowemu konwersacji i zapisałem dane„ pełnego stanu ”, czyli strony, które ładowałyby moje rozmowa z użytkownikiem, z którym się kontaktowałem, i niektóre dane o „pustym stanie”, pokazujące rozmowy z użytkownikami, z którymi nigdy skontaktowano się ”.
Masas zgłosił zagrożenie do Facebooka w ramach odpowiedzialnego programu ujawniania informacji. Powiedział, że Facebook szybko naprawił problem, łamiąc jego dowód słuszności koncepcji. Po zmodyfikowaniu algorytmu, aby obejść to obejście, Facebook ostatecznie usunął wszystkie elementy iFrame z interfejsu komunikatora.
Wygląda na to, że firma wciąż ma niewiele do zrobienia, aby uświadomić sobie tę bezpieczną przyszłość dla swoich użytkowników, co?
Czy ufasz przysiędze Zuckerberga, że uporządkuje działania Facebooka? Daj nam znać @TrustedReviews na Twitterze.