Una vulnerabilidad que afecta a la versión web de Facebook Messenger puede haber expuesto con quién ha estado chateando en esa plataforma. El investigador de seguridad de Imperva, Ron Masas, descubrió la falla y la reportó en privado a Facebook. La red social ya ha lanzado una solución.
«Comencé a buscar en la aplicación web de Messenger y noté que los elementos de iFrame dominaban la interfaz de usuario», escribió Masas en una publicación del blog del jueves. «Decidí registrar los datos de conteo de iFrame a lo largo del tiempo para la mayor cantidad de puntos finales que pude encontrar, con el objetivo de descubrir estados interesantes y detectables».
Notó un patrón interesante: «Cuando el usuario actual no ha estado en contacto con un usuario específico, el recuento de iFrame alcanzaría tres y luego caería repentinamente durante unos pocos milisegundos», explicó Masas. «Esto podría permitir [a un atacante] verificar de forma remota si el usuario actual ha conversado con una persona o empresa específica, lo que violaría la privacidad de esos usuarios».
Un atacante podría haber explotado el error simplemente engañando a un usuario de Messenger para que visite un sitio malintencionado y luego haga que haga clic en cualquier lugar de la página, como presionar reproducir en un lindo video de gato.
Para corregir el error, Facebook ha eliminado todos los iFrames de la interfaz de usuario de Messenger, escribió Masas. Las revelaciones sobre el error se producen después de que el CEO de Facebook, Mark Zuckerberg, a principios de esta semana describió un nuevo plan para construir una plataforma de mensajes y redes sociales «centrada en la privacidad». La idea puede parecer ridícula para aquellos que han estado siguiendo los recientes escándalos de privacidad de la compañía, pero Zuckerberg dijo que está listo para demostrar que los escépticos están equivocados.
«Entiendo que mucha gente no cree que Facebook pueda o quiera construir este tipo de plataforma centrada en la privacidad, porque, francamente, actualmente no tenemos una reputación sólida para crear servicios de protección de la privacidad, y nos hemos centrado históricamente en «Herramientas para un intercambio más abierto», escribió. «Pero repetidamente hemos demostrado que podemos evolucionar para construir los servicios que la gente realmente quiere, incluso en mensajes privados e historias».
#HablemosDeSeguridad
Vía @pcmag