Ошибка Facebook Messenger выявила, с кем пользователи общались

Буквально вчера Марк Цукерберг представил свое видение нового будущее Facebook, ориентированное на конфиденциальность. Если вы его пропустили, предложение сосредоточено на личных, интимных взаимодействиях в рамках зашифрованных разговоров.

Менее чем через 24 часа после торжественной клятвы основателя и генерального директора выяснилось, что ошибка в Facebook Messenger могла позволить хакерам точно узнать, с кем разговаривали пользователи.

Исправленный недостаток был обнаружен исследователями, которые теперь опубликовали информацию об ошибке, в которой указывалось, с какими контактами Facebook пользователь разговаривал с помощью Messenger. Хотя эта информация не включала содержание сообщений, раскрытие этих данных могло нанести вред некоторым пользователям.

В Сообщение блога, Рон Масас из Imperva Research рассказал, как атака по побочному каналу через браузер отображала связь между учетными записями Facebook.

Связанный: Как удалить учетную запись Facebook навсегда

Он объяснил, как хакеры могут нацеливаться на веб-браузер пользователя и использовать элементы iFrame для размещения его Разделите контакты Facebook на два списка, один из которых содержит людей, с которыми они общались, а другой - тех, с кем они общались. не было.

В своем сообщении в блоге (через Engadget) он написал:

«Я начал копаться в веб-приложении Messenger и заметил, что элементы iframe преобладают в пользовательском интерфейсе. Окно чата, а также список контактов были отображены в окнах iframe, что открывало возможность для CSFL-атаки.

«Я начал копаться в этих трех фреймах, чтобы понять, как, почему и когда они загружаются. Я решил записывать данные подсчета iframe с течением времени для как можно большего количества конечных точек, которые я смог найти, с целью выявления интересных и обнаруживаемых состояний.

«После нескольких тестов я начал изучать конечную точку разговора, я записал данные« полного состояния », то есть страницы, которые будут загружать мои беседа с пользователем, с которым я общался, и некоторые данные «пустого состояния», показывающие разговоры с пользователями, которых я никогда не связались. "

Масас сообщил об угрозе Facebook в рамках своей программы ответственного раскрытия информации. Он сказал, что Facebook быстро решил проблему, нарушив его доказательство концепции. После того, как он изменил алгоритм, чтобы обойти проблему, Facebook в конечном итоге удалил все элементы iFrame из пользовательского интерфейса Messenger.

Кажется, компании еще предстоит пройти небольшой путь, чтобы реализовать безопасное будущее для своих пользователей, да?

Доверяете ли вы клятве Цукерберга очистить Facebook? Дайте нам знать @TrustedReviews в Twitter.