导读 影响Web版本的Facebook Messenger的漏洞可能已经暴露了您在该平台上正在聊天的人。Imperva安全研究员Ron Masas发现了该漏洞,并将其秘密
影响Web版本的Facebook Messenger的漏洞可能已经暴露了您在该平台上正在聊天的人。
Imperva安全研究员Ron Masas发现了该漏洞,并将其秘密报告给Facebook。该社交网络已经推出了修复程序。
Masas在周四的博客文章中写道:“我开始四处查看Messenger Web应用程序,并注意到iFrame元素在用户界面中起主导作用。”“我决定随时间记录iFrame计数数据,以便发现尽可能多的端点,目的是发现有趣且可检测的状态。”
他确实注意到了一个有趣的模式:
Masas解释说:“当当前用户尚未与特定用户联系时,iFrame计数将达到3,然后总是突然下降几毫秒。”“这可能使[攻击者]远程检查当前用户是否与特定的人或企业聊天,这将侵犯这些用户的隐私。”
攻击者可以通过简单地诱使Messenger用户访问恶意网站,然后诱使他们单击页面上的任意位置,例如按可爱的猫视频播放来利用该漏洞。
Masas写道,为了更正该错误,Facebook从Messenger用户界面中删除了所有iFrame。
在周五给PCMag的声明中,Facebook说从技术上讲这不是Messenger错误。
一位Facebook发言人说:“该漏洞是一个浏览器问题,与他们如何处理嵌入在网页中的内容有关,并且可能影响任何网站,而不仅是Messenger.com。”“我们去年已经为Messenger.com解决了该问题,以保护我们的用户,并向浏览器制造商提出了建议,以防止此类问题的发生。”