30 pregleda 0 komentara

Bug u Facebook Messengeru omogućio drugima da vide s kim ste razgovarali

by on March 10, 2019
 

Sigurnosni istraživači su u novembru prošle godine otkrili Facebook bug koji je sajtovima omogućavao da izvlače podatke iz korisničkih profila, a sve zahvaljujući sigurnosnom propustu povezanom sa CSFL-om (cross-site frame leakage). Sada je taj isti tim otkrio ranjivost koja je sajtovima omogućavala da vide sa kim je korisnik razgovarao u Facebook Messengeru. Ron Masas, sigurnosni istraživač kompanije Imperva, je u blog objavi objasnio kako CSFL napad može iskoristiti iFrame elemente kako bi odredio stanje aplikacije.

Pokretanje procesa kroz individualne Messenger kontakte bi omogućilo jedno od dva stanja (puno ili prazno), ukazujući na to da li je korisnik ikada komunicirao sa tim kontaktom ili ne. Ovo je praktično sve što je pomenuti bug radio, a nije bio u mogućnosti da izvlači detalje o razgovoru i da prisvaja podatke iz istorije razgovora. Facebook je obavješten o postojanju ovog buga, i kompanije je odlučila da u potpunosti ukloni sve iFrame elemente iz Messenger interfejsa, efektivno nudeći patch za otkriveni problem.