video suggerito
video suggerito

Un bug di Facebook Messenger ha rivelato le conversazioni degli utenti

Il racconto arriva dalla società di sicurezza Imperva che per prima ha avvertito Facebook della vulnerabilità, l’anno scorso. Il bug dava modo a utenti malintenzionati di scoprire quali chat di un utente fossero vuote e quali no, di fatto riuscendo a tracciare una mappa delle persone e degli esercizi commerciali contattati dalla vittima.
A cura di Lorenzo Longhitano
12 CONDIVISIONI
Immagine

Non passa un mese ormai senza che si venga a conoscenza di una nuova vulnerabilità all'interno di Facebook o di uno dei prodotti di proprietà dell'azienda di Mark Zuckerberg. Questa volta è il caso di Messenger che, stando a quanto denuncia la società di sicurezza informatica israeliana Imperva, sarebbe stato afflitto fino a poco tempo fa da un bug in grado di rivelare se gli utenti avessero o meno delle chat attive nei confronti di contatti o esercizi commerciali conosciuti.

La falla riguardava gli elementi iframe delle pagine HTML usate da Facebook per costruire l'interfaccia grafica del servizio di messaggistica, e per essere sfruttata richiedeva che le vittime cliccassero erroneamente su un link che portasse a una pagina architettata ad arte e contenente il codice malevolo capace di sfruttare la vulnerabilità. Gli attacchi potevano funzionare solo se gli utenti in visita presso le pagine malevole erano autenticati presso Facebook; in caso affermativo, le pagine riuscivano a utilizzare la connessione già in atto con il social network per estrarre informazioni sullo stato — attivo o inattivo — di una particolare chat.

La vulnerabilità insomma non esponeva le informazioni contenute nelle conversazioni: l'unico risultato ottenibile da eventuali hacker era quello di sapere se l'utente nel mirino avesse mai scambiato messaggi con un determinato contatto della sua lista — e anche in quel caso gli hacker dovevano conoscere l'identificativo del contatto in questione. Ciò non toglie nulla alla pericolosità della falla: stando alla denuncia di Imperva l'attacco era piuttosto semplice da portare, ed esponeva comunque informazioni potenzialmente sensibili.

Il bug — ha precisato Facebook a The Verge — non è una specificità di Messenger, ma coinvolge tutte le piattaforme basate sulla particolare implementazione degli iframe utilizzata dal social network. La versione combacia con il racconto di Imperva: stando ai ricercatori, poco tempo dopo la prima segnalazione Facebook avrebbe tentato di risolvere la vulnerabilità continuando a basare la sua interfaccia sugli elementi iframe, ma senza particolare successo. La versione odierna dell'interfaccia — ridisegnata a novembre — risulta invece libera dal bug in questione.

12 CONDIVISIONI
autopromo immagine
Più che un giornale
Il media che racconta il tempo in cui viviamo con occhi moderni
api url views