Autore: DAVIDE PALMIERI
Con una vulnerabilità, da poco scoperta da un ricercatore, la privacy di circa 1 miliardo di utenti è a rischio e un malintenzionato qualunque volendo potrebbe leggere le vostre conversazioni su Messenger.
Ysrael Gurt, il ricercatore di sicurezza di BugSec e Cynet ha eseguito un attacco cross-origin bypass-attack contro l’applicazione di messaggistica di Facebook, che consente all’attaccante di poter visualizzare e accedere ai messaggi, foto e allegati inviati tramite Messenger.
Per sfruttare questa vulnerabilità basta che la vittima visiti un sito web malevolo.
Una volta visitato il sito, tutte le conversazioni private della vittima, sia dall’applicazione mobile che da browser web, saranno alla portata dell’hacker perché il difetto ha interessatoentrambe le chat.
Soprannominata ” Originull ,” la vulnerabilità risiede proprio nel fatto che Messenger sia gestita dal server -edge-chat.facebook.com, che è separato dal dominio effettivo di Facebook (www.facebook.com).
“La comunicazione tra il JavaScript e il server viene effettuata tramite una richiesta HTTP XML (XHR). Al fine di accedere ai dati che arrivano da 5-edge-chat.facebook.com in JavaScript, Facebook deve aggiungere il” Access-Control-assegni Origin ” con l’intestazione dell’origine del chiamante, e l’intestazione con credenziali di accesso-Control-allow-vero in modo che i dati siano accessibili anche quando i cookie sono stati inviati,” Gurt ha spiegato.
Comunque le vostre conversazioni su Facebook Messenger con crittografia end-to-end sono al sicuro.
