Facebook Messenger bag omogućio drugima da vide s kim ste razgovarali

08.03.2019. | 18:49

U novembru prošle godine, sigurnosni istraživači su otkrili Facebook bag koji je sajtovima omogućavao da izvlače podatke iz korisničkih profila, a sve zahvaljujući sigurnosnom propustu povezanom sa CSFL-om (cross-site frame leakage).

Sada je isti tim otkrio ranjivost koja je sajtovima omogućavala da vide s kim je korisnik razgovarao u Facebook Messengeru.

Ron Masas, sigurnosni istraživač kompanije Imperva, je u blog objavi objasnio kako CSFL napad može da iskoristi iFrame elemente kako bi odredio stanje aplikacije.

Pokretanje procesa kroz individualne Messenger kontakte bi omogućilo jedno od sva stanja (puno ili prazno), ukazujući na to da li je korisnik ikada komunicirao sa tim kontaktom ili ne. Ovo je praktično sve što je bag radio, a nije bio u mogućnosti da izvlači detalje o razgovoru i da prisvaja podatke iz istorije razgovora.

Facebook je obaviješten o postojanju baga, a kompanija je odlučila da u potpunosti ukloni sve iFrame elemete iz Messenger interfejsa, efektivno nudeći zakrpu za otkriveni problem, prenosi “benchmark.rs“.