Błąd Facebook Messengera ujawnił, z kim rozmawiali użytkownicy

Zaledwie wczoraj Mark Zuckerberg przedstawił swoją wizję nowego przyszłość Facebooka skoncentrowana na prywatności. Jeśli tego nie zauważyłeś, propozycja koncentruje się na prywatnych, intymnych interakcjach w ramach zaszyfrowanych rozmów.

Niecałe 24 godziny po uroczystym przysiędze założyciela i dyrektora generalnego okazało się, że błąd w programie Facebook Messenger mógł umożliwić hakerom dokładne sprawdzenie, z kim rozmawiali użytkownicy.

Rozwiązaną w tej chwili usterkę odkryli badacze, którzy opublikowali informacje o błędzie, w których wskazali, z którymi kontaktami na Facebooku rozmawiał użytkownik za pomocą Messengera. Chociaż informacje te nie obejmowały treści wiadomości, ujawnienie tych danych może być dla niektórych użytkowników szkodliwe.

W post na blogu, Ron Masas z Imperva Research, opisał, jak atak na kanał boczny oparty na przeglądarce odwzorował komunikację między kontami na Facebooku.

Związane z: Jak trwale usunąć konto na Facebooku

Wyjaśnił, w jaki sposób hakerzy mogą atakować przeglądarkę internetową użytkownika i używać elementów iFrame do umieszczania tej osoby Kontakty z Facebooka na dwie listy, jedną zawierającą osoby, z którymi się komunikowali, a drugą z tymi, z którymi się komunikowali nie.

W poście na blogu (za pośrednictwem Engadget) napisał:

„Zacząłem grzebać w aplikacji internetowej Messenger i zauważyłem, że elementy iframe dominują w interfejsie użytkownika. Okno czatu, jak również lista kontaktów, zostały wyrenderowane w ramkach iframe, otwierając możliwość ataku CSFL.

„Zacząłem zagłębiać się w te trzy elementy iframe, aby zrozumieć, jak, dlaczego i kiedy są ładowane. Zdecydowałem się rejestrować dane zliczania elementów iframe w czasie dla jak największej liczby punktów końcowych, jakie mogłem znaleźć, w celu odkrycia interesujących i wykrywalnych stanów.

„Po kilku testach zacząłem przyglądać się punktowi końcowemu konwersacji i zapisałem dane„ pełnego stanu ”, czyli strony, które ładowałyby moje rozmowa z użytkownikiem, z którym się kontaktowałem, i niektóre dane o „pustym stanie”, pokazujące rozmowy z użytkownikami, z którymi nigdy skontaktowano się ”.

Masas zgłosił zagrożenie do Facebooka w ramach odpowiedzialnego programu ujawniania informacji. Powiedział, że Facebook szybko naprawił problem, łamiąc jego dowód słuszności koncepcji. Po zmodyfikowaniu algorytmu, aby obejść to obejście, Facebook ostatecznie usunął wszystkie elementy iFrame z interfejsu komunikatora.

Wygląda na to, że firma wciąż ma niewiele do zrobienia, aby uświadomić sobie tę bezpieczną przyszłość dla swoich użytkowników, co?

Czy ufasz przysiędze Zuckerberga, że ​​uporządkuje działania Facebooka? Daj nam znać @TrustedReviews na Twitterze.