Bug στο Messenger επέτρεπε σε άλλους να βλέπουν με ποιους συνομιλείτε

Η ασφάλεια των ιδιωτικών συνομιλιών είναι μια αυτονόητη ανάγκη στις επικοινωνίες μας. Για αυτό το λόγο πολλές εφαρμογές μηνυμάτων προσφέρουν κρυπτογράφηση από άκρη σε άκρη, ώστε να αποτρέψουν την υποκλοπή μηνυμάτων από κάποιον “ενδιάμεσο”. Δυστυχώς όμως αυτή ακριβώς ήταν η αδυναμία του Facebook Messenger, το οποίο εξαιτίας ενός bug, μπορούσε να επιτρέψει σε κάποιον να δει με ποιους συνομιλείτε.

Ερευνητές της Imperva αποκάλυψαν πως βρήκαν ένα bug στην web εκδοχή του Messenger, το οποίο επέτρεπε σε websites να βλέπουν τους συνομιλητές σας. Μέσω μιας CSFL επίθεσης, οι ιδιότητες του iFrame έμεναν εκτεθειμένες για να διαπιστωθεί η κατάσταση μιας εφαρμογής. Τρέχοντας αυτή τη διεργασία για κάθε μία από τις επαφές σας στο Messenger, κάποιος θα μπορούσε να δει δύο status, γεμάτο ή άδειο, υποδεικνύοντας αν έχετε επικοινωνήσει με αυτό το άτομο ή όχι. Να τονίσουμε όμως πως δεν μπορούσε να πάρει το περιεχόμενο ή το ιστορικό των συνομιλιών.

Έχοντας αναφέρει την αδυναμία στο Facebook για το υπεύθυνο πρόγραμμα, το Facebook το έλυσε προσωρινά δημιουργώντας τυχαία στοιχεία iframe, τα οποία αρχικά μπλόκαραν τη διεργασία μου. Ωστόσο, μετά από μετατροπές, κατάφερα να προσαρμόσω τον αλγόριθμο και να κάνω το διαχωρισμό μεταξύ των δύο καταστάσεων. Μοιράστηκα τα ευρήματά μου με το Facebook, το οποίο αποφάσισε να αφαιρέσει εντελώς όλα τα iframes από το user interface του Messenger.

Άγνωστο παραμένει πόσοι και αν έχουν επηρεαστεί από αυτήν την αδυναμία και το αν έχουν πέσει θύματα πριν να έρθει το patch. Οι ερευνητές ωστόσο σημειώνουν:

Οι έμμεσες επιθέσεις μέσω browser παραμένουν ακόμα ένα θέμα που υποτιμούμε. Μεγάλοι παίκτες όπως το Facebook και η Google αρχίζουν να ξυπνάνε, αλλά το μεγαλύτερο μέρος της βιομηχανίας ακόμα κοιμάται.