Vulnerabilidade no Facebook Messenger permitia hackers ver com quem você conversava

Uma vulnerabilidade relatada anteriormente no Facebook foi similarmente encontrada no produto Messenger da empresa, de acordo com o grupo de pesquisa de segurança Imperva. Quase um ano atrás, os pesquisadores descobriram que, através do Messenger, um hacker poderia usar “qualquer site para expor com quem você estava trocando mensagens”. O bug foi divulgado ao Facebook em maio e, posteriormente, corrigido.

Os hackers podem segmentar um navegador da Web do usuário do Facebook e explorar elementos de iframe para ver com quais amigos o usuário conversou e quais não estavam na lista de contatos do usuário. Imperva confirmou que os hackers não puderam obter nenhum outro dado do ataque.

Como a vulnerabilidade no Facebook relatada em novembro passado , os usuários do Messenger ficariam vulneráveis ​​se visitassem um site malicioso com o Chrome e depois clicassem no site enquanto ainda estavam conectados no Facebook. Isso daria aos hackers acesso para executar qualquer consulta em uma nova aba do Facebook e extrair dados pessoais.

Depois que a Imperva divulgou o problema para o Facebook, a empresa tentou corrigir um problema ao randomizar os elementos iframe, um elemento HTML vital para a vulnerabilidade. Mais tarde, porém, a Imperva apontou que um hacker ainda poderia projetar um algoritmo que continuasse expondo mensagens privadas. O Facebook removeu iframes do Messenger completamente.

“Os ataques de canal lateral baseados no navegador ainda são um assunto negligenciado”, escreve o pesquisador da Imperial em Israel, Ron Masas, no relatório. “Enquanto grandes empresas como Facebook e Google estão se aproximando, a maioria da indústria ainda não está ciente.” Masas observou que, embora a técnica ainda não fosse comum, poderia “aumentar sua popularidade ao longo de 2019”, já que normalmente não deixava vestígio.

Ao longo dos últimos anos, o Facebook tem sido criticado por violações de privacidade excessivas e manuseio incorreto de dados de usuários. Desde o escândalo da Cambridge Analytica, divulgado em março passado, em uma violação de dados que o Facebook revelou em outubro, milhões de usuários tiveram seus dados vazados. A notícia da vulnerabilidade de hoje também vem um dia após o CEO do Facebook, Mark Zuckerberg, anunciar planos de mesclar o Messenger, WhatsApp e Instagram em um serviço que combinaria seus produtos através de um único back-end, posicionando o movimento como um pivô para uma comunicação focada em privacidade na plataforma.