Facebook acaba de solucionar una vulnerabilidad que permitía que usuarios malintencionados tuvieran acceso al historial de conversaciones de Facebook Messenger de sus víctimas. Usando el navegador del usuario, un hacker podría explotar las propiedades de iframe para descubrir con quiénes ha estado chateando en Messenger.
Los investigadores de Imperva que descubrieron el problema explicaron que es probable que para llevar a cabo la hazaña, los delincuentes primero deban convencer al usuario de que pulse en un enlace que dirija a una página maliciosa. Si la víctima pulsa en cualquier lugar de la página, aparece una nueva ventana que se mantiene escondida de su vista, en la que se muestra los otros usuarios de Facebook con quien la víctima se ha estado comunicando.
El problema no otorga acceso al contenido de los mensajes, pero el sólo saber con quién estás en contacto es una invasión importante a la privacidad, explicó Ron Masas, investigador de seguridad de Imperva. “Esta vulnerabilidad se podría usar para atacar a personas de alto perfil para saber con quién han estado comunicándose”, dijo Masas.
La vulnerabilidad está vinculada con otra falla de características similares en Facebook que Imperva había descubierto en noviembre del año pasado. En aquel entonces, el problema ocurría cuando los usuarios ingresaban a un sitio malicioso mientras tenían la sesión abierta en la red social. La vulnerabilidad le daba a los intrusos la capacidad de ejecutar solicitudes en una nueva pestaña de Facebook y de esta manera extraer datos personales sin consentimiento, incluyendo sus “me gusta”, ubicación e intereses.
Esta vulnerabilidad había sido solucionada por Facebook, pero con un poco de esfuerzo los investigadores de Imperva lograron explotar la variante en Messenger del mismo problema: “Después de haber informado a Facebook sobre la vulnerabilidad mediante su programa de divulgación responsable de vulnerabilidades, Facebook mitigó el problema creando elementos iframe de forma aleatoria, lo que en un principio solucionó el problema y venció a mi prueba de concepto”, dijo Massa. “Pero, después de un poco de investigación al respecto, logré adaptar mi algoritmo y volver a explotarla. Compartí lo que descubrí con Facebook, que decidió eliminar por completo los iframes de la interfaz de usuario de Messenger.
El problema no se encuentra en Facebook o Messenger en sí, sino en la forma en la que los navegadores web manejan el contenido incorporado en las páginas web. “Hemos hecho recomendaciones a los fabricantes de navegadores y grupos de regulación de estándares en la web para que tomen los pasos necesarios para evitar que este tipo de situaciones vuelva a ocurrir en otras aplicaciones web. También actualizamos la versión web de Messenger para asegurarnos de que este comportamiento del navegador no se active en nuestros servicios”, informó un portavoz de Facebook.
Fuentes
Facebook Messenger had a vulnerability that could let hackers see who you contact • The Verge
Facebook Messenger bug revealed who you had conversations with • Cnet News
Facebook Messenger Bug Exposed Who You Were Chatting With • Gizmodo
Facebook parcha una vulnerabilidad que permite a intrusos ver con quién conversas en Facebook Messenger