影响Web版本的Facebook Messenger的漏洞可能已经暴露了您在该平台上正在聊天的人。
Imperva安全研究员Ron Masas发现了该漏洞,并将其秘密报告给Facebook。该社交网络已经推出了修复程序。
Masas在周四的博客文章中写道:“我开始在Messenger Web应用程序中闲逛,发现iFrame元素在用户界面中占主导地位。” “我决定随时间记录尽可能多的端点的iFrame计数数据,目的是发现有趣且可检测的状态。”
他确实注意到了一个有趣的模式:
Masas解释说:“当当前用户尚未与特定用户联系时,iFrame计数将达到3,然后总是突然下降几毫秒。” “这可能使[攻击者]远程检查当前用户是否与特定的人或企业聊天,这将侵犯这些用户的隐私。”
攻击者可以通过简单地诱使Messenger用户访问恶意网站,然后诱使他们单击页面上的任意位置,例如按可爱的猫视频上的播放,来利用此漏洞。
Masas写道,为了更正该错误,Facebook从Messenger用户界面中删除了所有iFrame。
在周五给PCMag的声明中,Facebook说从技术上讲这不是Messenger错误。