Messenger soluciona una vulnerabilidad de su web que exponía con quién conversaban sus usuarios

Messenger soluciona una vulnerabilidad de su web que exponía con quién conversab
MESSENGER
Europa Press PortalTIC
Publicado: viernes, 8 marzo 2019 15:15
@portaltic

   MADRID, 8 Mar. (Portaltic/EP) -

   La aplicación de mensajería Facebook Messenger ha solucionado una vulnerabilidad en su versión web que exponía información personal de sus usuarios, permitiendo averiguar con qué otras personas habían mantenido conversaciones.

   Según ha advertido el experto en ciberseguridad Ron Masas desde su blog, la vulnerabilidad se basa en un ataque de canal paralelo (CSFL, por las siglas en inglés 'Criss-Site Frame Leakage'), que puede utilizarse para obtener metadatos de los usuarios con información sensible.

   Esta vulnerabilidad reside en la versión web de Messenger, a través del sistema de 'frames' que utiliza, es decir, de su marco web. A través de un 'exploit' en el navegador, la vulnerabilidad hace posible obtener las propiedades de origen de los elementos de la página, para obtener metadatos sobre su estado.

   En publicaciones anteriores, Masas había demostrado que la información de metadatos expuesta en los 'frames' de las páginas webs podría exponer datos como los 'Me gusta' de Messenger o el historial de localizaciones del usuario.

   Ahora, una prueba de concepto basada en el código de la aplicación realizada por el experto ha demostrado que si un atacante consigue hacerse con los metadatos sobre el estado de la página, puede obtener información sensible del usuario mientras este se encuentra registrado en su sesión.

Entre estos datos, el investigador ha destacado que resultaba posible obtener la identidad de las personas con las que un usuario de Facebook Messenger había conversado a través de su chat en la versión web.

   Para infectar al usuario con el 'exploit' en su navegador web, solamente es necesario dirigirle a un sitio web malicioso externo a Messenger y conseguir que haga clic en el mismo, mientras el sitio se hace con sus metadatos de Messenger.

   Masas, tras advertir el problema de seguridad inicialmente, puso la vulnerabilidad en conocimiento de Facebook, quien ha solucionado el problema mediante la difusión de una actualización del código de su aplicación web que retiraba los 'frames' vulnerable.

Leer más acerca de: