Nie istnieje idealny, w pełni bezpieczny program komputerowy. Kod software tworzony jest przez ludzi, dlatego też niemożliwym jest, aby był on pozbawiony wad i usterek. I nawet jeśli początkowo żadna nie zostanie znaleziona, to z kolejnymi aktualizacjami szansa na wykrycie poważnego zagrożenia rośnie. Oczywiście w większej mierze dotyczy to tak rozbudowanego oprogramowania jak na przykład
Facebook Messenger. Właśnie odkryto w tej aplikacji kolejną, dość poważną lukę, która zagrażała prywatności użytkowników.
W listopadzie badacze bezpieczeństwa z Imperva odkryli błąd Facebooka, który pozwalał na przechwytywanie konkretnych informacji z profili użytkowników dzięki luce związanej z przeciekiem danych między ramkami (CSFL). Ten sam zespół odkrył teraz kolejne zagrożenie – strony internetowe będą mogły w łatwy sposób sprawdzić z kim rozmawiasz na Messengerze.
W poście na blogu Imperva,
Ron Masas dokładnie wyjaśnił w jaki sposób atak CSFL wykorzystuje
elementy iFrame do określenia stanu aplikacji. Uruchomienie procesu poprzez kontakty na Messengerze mogło dać jeden z dwóch statusów: pusty, albo pełny. Dawało to informacje na temat tego
czy użytkownik prowadził rozmowę z danym kontaktem, czy nie. Całe szczęście to jedyna możliwość wykorzystania luki. Nie udało się w ten sposób wyciągnąć żadnych wiadomości czy danych na temat historii rozmów.
Mimo stosunkowo niskiej szkodliwości, Facebook został natychmiast poinformowany o błędzie, a biorąc pod uwagę jego związek ze wcześniejszą, znacznie powazniejszą luką, firma zdecydowała się całkowicie usunąć wszystkie elementy iFrame z poziomu interfejsu użytkownika programu Messenger.
Masas zaznacza również, że ataki typu side-channel bazujące na właściwościach przeglądarki wciąż są często przeoczane. Problem nie dotyczy w znacznej mierze dużych firm takich jak Facebook czy Google, które mogą natychmiastowo naprawić błędy i luki. Świadomości zagrożeń, jakie to powoduje brakuje nadal jednak jeszcze wielu podmiotom powiązanym z tą branżą.
Źródło: CNET
Udostępnij
