Bug-ul care le permitea hackerilor să-ți citească mesajele din Facebook Messenger

de: Bogdan Cristea
17 12. 2016

Un cercetător a descoperit o vulnerabilitate importantă în Facebook Messenger, care i-ar permite unui atacator să citească mesajele private ale utilizatorilor.

La începutul lunii octombrie a acestui an, Facebook a introdus criptarea conversațiilor de pe Messenger pentru toți utilizatorii săi. Mulțumită criptării, oamenii nu ar mai fi avut motive să se teamă de faptul că entități terțe ar putea să verifice conținutul mesajelor pe care le trimiteau sau pe care le primeau în cadrul aplicației.

Însă, de curând, un cercetător din domeniul securității online a descoperit o vulnerabilitate importantă a programului. Din câte se pare, aceasta i-ar permite unui infractor din mediul online să citească toate mesajele private ale unui utilizator.

Potrivit site-ului Hacker News, cel mai important lucru pe care atacatorul ar trebui să-l facă ar fi să se asigure că victima vizitează un site malițios.

Bug-ul ar fi fost poreclit ”Originull și s-ar datora, într-o anumită măsură, faptului că acele conversații din Facebook sunt administrate de pe un server a cărui adresă ar fi {number}-edge-chat.facebook.com. Aceasta este diferit de actualul domeniu utilizat de către rețeaua socială propriu-zisă (www.facebook.com).

”Comunicarea dintre JavaScript și server este realizată printr-o cerere XML HTTP (XHR). Pentru a accesa datele care vin de la 5-edge-chat.facebook.com în JavaScript, Facebook trebuie să adauge header-ul „Access-Control-Allow-Origin” cu originea celui care a trimis cererea și header-ul „Access-Control-Allow-Credentials” cu valoarea ”true”, astfel încât datele să fie accesibile chiar și atunci când cookie-urile sunt trimise”, explică cel care a descoperit bug-ul.

Problema este reprezentată de configurarea necorespunzătoare a header-elor de tip ”cross-origin” pe serverul de chiar, care permitea atacatorului să treacă de verificări și să acceseze mesajele din Facebook de pe un site extern. Pentru a demonstra acest lucru, site-ul Cynet a publicat și un material video pe YouTube. Problema a fost descoperită în cadrul unui program de tip bug bounty și ar fi fost rezolvată între timp.