Rob Masas, un ricercatore della società di cybersecurity Imperva, ha reso nota una vulnerabilità di Messenger che permetteva di mostrare a terzi con chi parlavate. Segnalata a Facebook a novembre, la falla è stata prontamente sistemata nel giro di breve tempo. Rendiamo noto inoltre che il problema affliggeva solo la versione web del servizio di messaggistica e che le app Android e iOS non sono state intaccate.

Bug Messenger

Bug Messenger: ecco come era possibile essere attaccati

La vulnerabilità riguardava gli elementi iFrame delle pagine HTML usate da Facebook per costruire l’interfaccia grafica del servizio di messaggistica. L’attacco avrebbe permesso ai cybercriminali di forzare alcuni elementi iFrame per rivelare se gli utenti avessero o meno delle chat attive e nei confronti di chi. Secondo Imperva, nessun altro dato poteva essere recuperato.

Falla Facebook

Per lanciare l’attacco, un malintenzionato avrebbe dovuto attirare un utente ignaro su uno specifico sito Web contenente il codice malevolo capace di sfruttare la falla. A questo punto era necessario che l’utente facesse clic su un qualsiasi punto della pagina. Gli attacchi potevano però funzionare solo se gli utenti in visita presso tali pagine malevole erano autenticati presso Facebook. In caso affermativo, le pagine riuscivano a utilizzare la connessione già in atto con il social network per estrarre informazioni sullo stato di una particolare chat, all’insaputa dell’utente.

Calcolando il numero di iFrame caricati, un eventuale malintenzionato sarebbe stato in grado di carpire i destinatari dei messaggi. Inoltre, analizzando il flusso binario iFrame, il bug avrebbe permesso di scoprire con chi non abbiamo mai interagito tramite Messenger.

Nulla da temere per il contenuto delle conversazioni

Il gigante dei social media avrebbe tentato di risolvere questa vulnerabilità randomizzando il numero di iFrame, ma ciò non è servito a risolvere il problema, così Facebook ha cambiato l’interfaccia di Messenger e ha rimosso completamente gli iFrame.

Privacy Facebook
Sembrerebbe non esserci nulla da temere per il contenuto delle conversazioni

Imperva ha rassicurato che la falla non dava accesso ai malintenzionati ai contenuti dei messaggi. Da parte sua, Facebook apprezza Masas per aver trovato il bug ma al contempo la società si è sciolta da ogni responsabilità, affermando che il problema era legato al modo in cui i browser web gestiscono i contenuti incorporati.

Facebook Data Protection
Facebook sta lavorando duramente per migliorare la privacy

In precedenza, Masas aveva scoperto un bug simile che consentiva agli hacker di visualizzare i mi piace, gli interessi e la cronologia delle posizioni. Anche in quel caso la falla era legata alla vulnerabilità cross-site frame leakage (CSFL). Recentemente, l’amministratore delegato di Facebook Mark Zuckerberg ha annunciato l’intenzione di concentrarsi sulla messaggistica criptata per migliorare la privacy della sua piattaforma.

Tuttavia, Masas afferma che il bug che ha identificato è “impermeabile” alla crittografia poiché utilizza iFrame per estrarre informazioni. Infine, ha proseguito dicendo che:

gli attacchi basati su browser dovrebbero essere presi più seriamente e mentre i big Facebook e Google stanno recuperando terreno, altri nel settore sono ancora indietro. Senza dimenticare che, non essendo tracciabile, tale vulnerabilità potrebbe prendere campo nel corso del 2019 da attori malvagi in quanto non è rintracciabile. Per evitare violazioni dei dati, i responsabili dei browser e degli standard web dovrebbero prendere provvedimenti. Inoltre, i creatori di applicazioni Web dovrebbero effettuare un controllo di sicurezza per rimuovere qualsiasi vulnerabilità che possa rendere i propri utenti suscettibili a tale attacco