14Aug
В ноябре исследователи обнаружили Ошибка Facebook это позволило веб-сайтам извлекать данные из профилей пользователей благодаря уязвимости в системе безопасности, связанной с межсайтовой утечкой кадров (CSFL). Сегодня та же команда обнаружила исправленную уязвимость, которая позволяла веб-сайтам раскрывать информацию о том, с кем вы общались в Facebook. Мессенджер.
В Сообщение блога, исследователь безопасности Imperva Рон Масас объясняет, как атака CSFL может использовать свойства элементов iFrame для определения состояния приложения. Выполнение этого процесса через отдельные контакты Messenger приведет к одному из двух состояний, заполненному или пустому, указывающему, общался ли пользователь когда-либо с этим контактом или нет. Это, по сути, степень дефекта. Ему не удалось получить разговоры или извлечь данные из истории чата -- он просто производил двоичные данные с очень ограниченным применением для гнусных лиц.
Тем не менее, Масас сообщил Facebook об ошибке, и, учитывая ее связь с предыдущей, более серьезной ошибкой, Facebook с тех пор решил полностью удалить все iFrames из пользовательского интерфейса Messenger. «Атаки по сторонним каналам на основе браузера до сих пор упускают из виду», — пишет Масес в блоге Imperva. «В то время как крупные игроки, такие как Facebook и Google, догоняют, большая часть отрасли все еще не знает».