În noiembrie, cercetătorii au descoperit un bug Facebook care permitea site-urilor web să extragă date din profilurile utilizatorilor datorită unei vulnerabilitati de securitate referitoare la scurgeri de cadre cross-site (CSFL).
Astăzi, aceeași echipă a dezvăluit o vulnerabilitate, intre timp revizuita, care ar permite site-urilor să dezvăluie cu cine ați vorbit pe Facebook Messenger.
Într-o postare pe blog, cercetătorul de securitate, Ron Masas, explică modul în care un atac CSFL ar putea exploata proprietățile elementelor iFrame pentru a determina starea unei aplicații. Rularea acestui proces prin intermediul contactelor Messenger individuale ar putea sa indice dacă un utilizator a comunicat vreodată cu acel contact sau nu.
Aceasta este în esență amploarea vulnerabilitatii. Nu exista informatii daca au fost raportate si situatii in care au fost recuperate conversații sau să extrase date din istoricul de discuții Vunerabilitatea a produs pur și simplu date binare cu aplicații foarte limitate.
Cu toate acestea, Masas a instiintata Facebook de acest bug și, având în vedere legătura sa cu vulnerabilitatile anterioare mai grave, Facebook a decis de să înlăture complet toate iFrame-urile din aplicația Messenger.
„Atacurile cu canale laterale bazate pe browser sunt încă un subiect trecut cu vederea”, scrie Mases pe blogul Imperva. „În timp ce marii jucători precum Facebook și Google incearca sa tina pasul, cea mai mare parte a industriei nu este încă informată”.