Una nueva vulnerabilidad descubierta en el popular servicio de mensajería permitió que cualquier sitio web expusiera a los contactos con que has establecido conversaciones. Este ataque corresponde a uno de tipo CSFL (Cross-Site Frame Leakage), que se basa en un ataque de canal lateral, que se realiza en el navegador web del usuario víctima, encargado de explotar las propiedades cross-origin de los elementos iFrame para determinar el estado de una aplicación vulnerable.
En otros términos, el investigador a cargo, desarrolló una herramienta que informaría la cantidad de iFrames cargados, y con esos datos, podría averiguar con quién ha estado en contacto alguien y para que el ataque funcione, la víctima debe hacer clic en un enlace que lleva a la herramienta como tal, a este enlace se puede vincular un elemento de distracción mientras facebook messenger se ejecuta en segundo plano para robar la información a través de esta herramienta.
Una vez que se informó sobre la vulnerabilidad a Facebook bajo el programa de divulgación responsable, Facebook mitigó el problema creando elementos iframe al azar, lo que en un principio resolvió el fallo, luego se decidió eliminar por completo todos los marcos de la interfaz de usuario de Messenger para solucionar el problema.
REFERENCIA
https://www.imperva.com/blog/mapping-communication-between-facebook-accounts-using-a-browser-based-side-channel-attack/
COMENTARIOS