影響Messenger.com的漏洞可能暴露了您在該平臺上與之聊天的人。社交網(wǎng)絡已經(jīng)推出了修復方案。
影響Facebook Messenger Web版本的漏洞可能暴露了您在該平臺上與之聊天的人。
Imperva安全研究員Ron Masas發(fā)現(xiàn)了這個漏洞并私下向Facebook報告。社交網(wǎng)絡已經(jīng)推出了修復方案。
“我開始探索Messenger網(wǎng)絡應用程序并發(fā)現(xiàn)iFrame元素占據(jù)了用戶界面的主導地位,”Masas在周四的博客文章中寫道。“我決定記錄iFrame計數(shù)數(shù)據(jù)隨著時間的推移,我可以找到盡可能多的端點,目的是發(fā)現(xiàn)有趣且可檢測的狀態(tài)。”
他注意到了一個有趣的模式:
“當當前用戶沒有與特定用戶聯(lián)系時,iFrame計數(shù)將達到3,然后總是突然下降幾毫秒,”Masas解釋說。“這可以讓[攻擊者]遠程檢查當前用戶是否與特定的人或企業(yè)聊天,這會侵犯這些用戶的隱私。”
攻擊者可以通過簡單地欺騙Messenger用戶訪問惡意網(wǎng)站,然后讓他們點擊頁面上的任何位置來利用該錯誤,例如按下可愛的貓視頻上的播放。
為了糾正這個錯誤,F(xiàn)acebook已經(jīng)從Messenger用戶界面中刪除了所有iFrame,Masas寫道。
在周五發(fā)給PCMag的聲明中,F(xiàn)acebook表示這在技術上并不是Messenger漏洞。
“該漏洞是一個瀏覽器問題,與他們如何處理嵌入在網(wǎng)頁中的內容有關,并且可能影響任何網(wǎng)站,而不僅僅是Messenger.com,”Facebook發(fā)言人說。“我們去年已經(jīng)修復了Messenger.com的問題,以保護我們的用戶,并向瀏覽器制造商提出建議,以防止此類問題的發(fā)生。”
Facebook首席執(zhí)行官馬克·扎克伯格(Mark Zuckerberg)本周早些時候提出了構建“以隱私為中心”的消息傳遞和社交網(wǎng)絡平臺的新計劃。這個想法似乎可笑那些誰一直在關注該公司的許多 近期的 隱私丑聞,但扎克伯格說,他已經(jīng)準備好要證明懷疑者是錯誤。
“我知道很多人不認為Facebook可以或甚至不想建立這種以隱私為重點的平臺 - 因為坦率地說,我們目前在建立隱私保護服務方面并不具備良好的聲譽,而且我們歷來專注于更開放的共享工具,“他寫道。“但我們一再表明,我們可以發(fā)展以構建人們真正想要的服務,包括私人消息和故事。”