Cel mai popular serviciu de comunicare, Facebook Messenger, a avut un bug prin care un atacator putea afla exact cu cine a schimbat mesaje un anumit utilizator.
Bug-ul, descoperit de experții în securitate de la Imperva și reparat între timp de Facebook, profita de o vulnerabilitate din CSFL (cross-site frame leakage) – componenta folosită pentru integrarea Facebook Messenger în paginile web.
Ron Masas de la Imperva a explicat că un atac care viza componenta CSFL putea exploata proprietățile unui iFrame pentru a afla statutul unei aplicații. Prin targetarea unei persoane din lista de contacte, atacatorul putea obține un răspuns pozitiv sau negativ, aflând astfel dacă utilizatorul a comunicat sau nu cu persoana respectivă. Repetând atacul, hackerul putea chiar să dobândească întreaga listă de persoane cu care un utilizator a comunicat.
Partea pozitivă este că atacul nu dădea acces decât la numele celor cu care s-a comunicat, nu și la conținutul propriu-zis al comunicărilor (text, imagini etc). Pentru că nu era prima oară când a fost descoperită o problemă care implica iFrame-urile, Facebook a decis între timp să elimine complet această componentă din Messenger.(profit.ro)