Theo Engadget, vào tháng 11 năm ngoái, các nhà nghiên cứu đã phát hiện ra một lỗi Facebook cho phép các trang web trích xuất dữ liệu từ hồ sơ của người dùng nhờ một lỗ hổng bảo mật liên quan đến cross-site frame leakage (CSFL). Giờ đây, nhóm này cũng đã tiết lộ một lỗ hổng (hiện đã được vá), cho phép người khác thấy được những người bạn đã trò chuyện trong Facebook Messenger.
Cụ thể, nhà nghiên cứu bảo mật Ron Masas của Imperva giải thích một cuộc tấn công CSFL có thể khai thác thuộc tính trong các yếu tố iFrame để xác định trạng thái một ứng dụng. Chạy quá trình này thông qua các liên hệ Messenger riêng lẻ sẽ mang lại một trong hai trạng thái, đầy đủ hoặc trống, cho biết liệu người dùng đã từng liên lạc với liên hệ đó hay chưa. Đó thực chất là một lỗ hổng, mặc dù nó không thể truy xuất các cuộc hội thoại hoặc lấy dữ liệu từ lịch sử trò chuyện.
Bản thân Facebook cũng đã nhận ra lỗi này và liên kết nó với lỗ hổng trên mạng này vào năm ngoái, từ đó quyết định xóa hoàn toàn tất cả iFrame khỏi Messenger.
Vấn đề ở đây là Masas cho biết, những cuộc tấn công dựa vào trình duyệt là rất nguy hiểm. Trong khi các công ty lớn như Facebook hay Google nhanh chóng khắc phục vấn đề thì hầu hết các công ty khác không thể bắt kịp điều này.
Bình luận (0)