Facebook Messenger dính lỗi tiết lộ người dùng đã nói chuyện với ai

Còn nhớ hồi tháng 11 năm ngoái các nhà nghiên cứu đã phát hiện ra lỗi Facebook cho phép các trang web trích xuất dữ liệu từ profile người dùng thông qua lỗ hổng bảo mật liên quan đến kỹ thuật tấn công cross-site frame leakage (CSFL). Hôm nay các nhà nghiên cứu cho biết một lỗ hổng đã được vá, theo đó lỗ hổng này cho phép các trang web tiết lộ những người mà người dùng đã trò chuyện trên Facebook Messenger.

Facebook Messenger dính lỗi tiết lộ người dùng đã nói chuyện với ai

- Download Messenger cho Android- Download Messenger cho iPhone

Trong một bài đăng trên blog, nhà nghiên cứu bảo mật của Imperva, Ron Masas đã giải thích cách một cuộc tấn công CSFL có thể khai thác các thuộc tính các yếu tố iFrame để xác định trạng thái của ứng dụng.

Nếu chạy process này thông qua các liên hệ Messenger riêng lẻ, kết quả trả về là một trong hai trạng thái, full hoặc empty (trống), cho biết liệu người dùng đã từng trò chuyện với liên hệ đó hay chưa, thực chất nó là mức độ của lỗ hổng.

Lỗ hổng không thể truy xuất các cuộc trò chuyện hoặc lấy dữ liệu từ lịch sử các cuộc trò chuyện, đơn giản là nó chỉ tạo ra dữ liệu nhị phân với các ứng dụng rất hạn chế cho kể tấn công.

Nhà nghiên cứu bảo mật cũng đã báo cáo lỗ hổng cho Facebook và đánh giá mức độ lỗ hổng nghiêm trọng hơn trước đó. Phía Facebook đã quyết định xóa bỏ tất cả iFrame khỏi giao diện người dùng Messenger.

Theo Masas: "Các cuộc tấn công kênh bên dựa trên trình duyệt vẫn là chủ đề không được chú ý. Trong khi hầu hết các ông lớn công nghệ như Facebook và Google đang nắm bắt kịp thời, hầu hết các công ty công nghệ khác vẫn chưa hay biết gì".

Một trong những tính năng trên Messenger gây đầy dung lượng bộ nhớ điện thoại đó là tính năng tự động lưu hình ảnh khi có bất kỳ ai gửi hình ảnh lên, để tắt phiền toái này, bạn tham khảo cách Tắt tự động lưu ảnh Messenger tại đây.

Bình luận bài viết
Bình luận tối thiểu 30 ký tự.
Để được đăng bình luận, hãy đăng nhập
Bài viết liên quan