Non passa un mese ormai senza che si venga a conoscenza di una nuova vulnerabilità all'interno di Facebook o di uno dei prodotti di proprietà dell'azienda di Mark Zuckerberg. Questa volta è il caso di Messenger che, stando a quanto denuncia la società di sicurezza informatica israeliana Imperva, sarebbe stato afflitto fino a poco tempo fa da un bug in grado di rivelare se gli utenti avessero o meno delle chat attive nei confronti di contatti o esercizi commerciali conosciuti.

La falla riguardava gli elementi iframe delle pagine HTML usate da Facebook per costruire l'interfaccia grafica del servizio di messaggistica, e per essere sfruttata richiedeva che le vittime cliccassero erroneamente su un link che portasse a una pagina architettata ad arte e contenente il codice malevolo capace di sfruttare la vulnerabilità. Gli attacchi potevano funzionare solo se gli utenti in visita presso le pagine malevole erano autenticati presso Facebook; in caso affermativo, le pagine riuscivano a utilizzare la connessione già in atto con il social network per estrarre informazioni sullo stato — attivo o inattivo — di una particolare chat.

La vulnerabilità insomma non esponeva le informazioni contenute nelle conversazioni: l'unico risultato ottenibile da eventuali hacker era quello di sapere se l'utente nel mirino avesse mai scambiato messaggi con un determinato contatto della sua lista — e anche in quel caso gli hacker dovevano conoscere l'identificativo del contatto in questione. Ciò non toglie nulla alla pericolosità della falla: stando alla denuncia di Imperva l'attacco era piuttosto semplice da portare, ed esponeva comunque informazioni potenzialmente sensibili.

Il bug — ha precisato Facebook a The Verge — non è una specificità di Messenger, ma coinvolge tutte le piattaforme basate sulla particolare implementazione degli iframe utilizzata dal social network. La versione combacia con il racconto di Imperva: stando ai ricercatori, poco tempo dopo la prima segnalazione Facebook avrebbe tentato di risolvere la vulnerabilità continuando a basare la sua interfaccia sugli elementi iframe, ma senza particolare successo. La versione odierna dell'interfaccia — ridisegnata a novembre — risulta invece libera dal bug in questione.