Facebook Messenger 有一个漏洞,可以让黑客看到你联系谁 - iYouPort
Facebook Messenger 有一个漏洞,可以让黑客看到你联系谁
根据安全研究组织 Imperva 的说法, 此前公布的 Facebook 漏洞 同样存在于该公司的 Messenger 产品中。
大约一年前,Imperva 的研究人员发现,通过 Messenger,黑客可以使用“任何网站来揭露您与之通信的人”。该漏洞在11月份向 Facebook 披露。
黑客可以定位 Facebook 用户的网络浏览器并利用 iframe 元素来查看用户与之交谈的朋友以及哪些朋友不在用户的联系人列表中。 Imperva 证实,黑客无法从攻击中获得此外其他数据。
就像去年11月 Facebook 被报道的漏洞一样,如果用户访问 Chrome 的恶意网站,然后登录 Facebook,那么 Messenger 用户就会容易受到攻击。这将使黑客能够在新的 Facebook 标签上运行任何查询并提取个人数据。
在 Imperva 向 Facebook 披露此问题后,该公司试图通过随机化 iframe 元素发布修复程序,iframe 元素是一个对于 vulernability 至关重要的HTML元素。但后来,Imperva 指出,黑客仍然可以设计一种能够继续暴露用户联系人的算法。然后 Facebook 完全删除了来自 Messenger 的 iframe。
Facebook 在声明中告诉 The Verge:“我们感谢研究人员对我们的bug赏金计划的提交。他的报告中的问题源于网络浏览器处理嵌入在网页中的内容的方式,而不是 Facebook 特有的。“
“基于浏览器的旁道攻击仍然是一个被忽视的主题,”总部位于以色列的 Imperva 研究员 Ron Masas 在报告中写道,“大多数行业仍然没有意识到这点。”Masas 指出,虽然这项技术尚未普及,但它可能“在整个2019年越来越受欢迎”,因为这种攻击通常不会留下痕迹。
在过去一年中,Facebook 一直因猖獗的隐私侵权和用户数据处理不当而受到抨击。从去年3月报道的 Facebook Analytica 丑闻到10月份披露的数据泄露事件侵害数百万用户的隐私。而现在扎克伯格宣布计划将 Messenger,WhatsApp 和 Instagram 合并为一项服务,通过单一后端将其产品结合起来,他将此举定位为“以隐私为中心的通信”平台。
你敢信他吗?
F acebook Messenger had a vulnerability that could let hackers see who you contact. Hackers could have used an uncommon attack that could become more popular
文章版权归原作者所有。
