Home Aplikacije Facebok Messenger imao propust koji je dozvoljavao da drugi vide sa kim...

Facebok Messenger imao propust koji je dozvoljavao da drugi vide sa kim ste komunicirali

U novembru prošle godine, sigurnosni istraživači su otkrili Facebook propust koji je sajtovima omogućavao da izvlače podtake iz korisničkih profila, a sve zahvaljujući sigurnosnom propustu povezanom sa CSFL-om (cross-site frame leakage). Sada je isti tim otkrio ranjivost koja je sajtovima omogućavala da vide s kim je korisnik razgovarao u Facebook Messengeru.

Ron Masas, sigurnosni istraživač kompanije Imperva, je u blog objavi objasnio kako CSFL napad može da iskoristi iFrame elemente kako bi odredio stanje aplikacije. Pokretanje procesa kroz individualne Messenger kontakte bi omogućilo jedno od sva stanja (puno ili prazno), ukazujući na to da li je korisnik ikada komunicirao sa tim kontaktom ili ne. Ovo je praktično sve što je bag radio, a nije bio u mogućnosti da izvlači detalje o razgovoru i da prisvaja podatke iz istorije razgovora.

Facebook je obavešten o postojanju baga, a kompanija je odlučila da u potpunosti ukloni sve iFrame elemete iz Messenger interfejsa, efektivno nudeći zakrpu za otkriveni problem.

(bug)