影响Facebook Messenger Web版本的漏洞可能暴露了您在该平台上与之聊天的人。
Imperva安全研究员Ron Masas发现了这个漏洞并私下向Facebook报告。社交网络已经推出了修复方案。
“我开始探索Messenger网络应用程序并发现iFrame元素占据了用户界面的主导地位,”Masas在周四的博客文章中写道。“我决定记录iFrame计数数据随着时间的推移,我可以找到尽可能多的端点,目的是发现有趣且可检测的状态。”
他注意到了一个有趣的模式:
“当当前用户没有与特定用户联系时,iFrame计数将达到3,然后总是突然下降几毫秒,”Masas解释说。“这可以让[攻击者]远程检查当前用户是否与特定的人或企业聊天,这会侵犯这些用户的隐私。”
攻击者可以通过简单地欺骗Messenger用户访问恶意网站,然后让他们点击页面上的任何位置来利用该错误,例如按下可爱的猫视频上的播放。
为了纠正这个错误,Facebook已经从Messenger用户界面中删除了所有iFrame,Masas写道。
在周五发给PCMag的声明中,Facebook表示这在技术上并不是Messenger漏洞。
“该漏洞是一个浏览器问题,与他们如何处理嵌入在网页中的内容有关,并且可能影响任何网站,而不仅仅是Messenger.com,”Facebook发言人说。“我们去年已经修复了Messenger.com的问题,以保护我们的用户,并向浏览器制造商提出建议,以防止此类问题的发生。”
Facebook首席执行官马克·扎克伯格(Mark Zuckerberg)本周早些时候提出了构建“以隐私为中心”的消息传递和社交网络平台的新计划。这个想法似乎可笑那些谁一直在关注该公司的许多 近期的 隐私丑闻,但扎克伯格说,他已经准备好要证明怀疑者是错误。
“我知道很多人不认为Facebook可以或甚至不想建立这种以隐私为重点的平台 - 因为坦率地说,我们目前在建立隐私保护服务方面并不具备良好的声誉,而且我们历来专注于更开放的共享工具,“他写道。“但我们一再表明,我们可以发展以构建人们真正想要的服务,包括私人消息和故事。”