Ranjivost u Facebook Messenger-u, moguće čitanje privatnih poruka

Ranjivost u Facebook Messenger-u, moguće čitanje privatnih poruka

Istraživači su otkrili ozbiljnu ranjivost u Facebook Messenger-u, koja može dozvoliti napadaču da pristupi svim privatnim konverzacijama. Ovaj propust pogađa preko milijardu korisnika ove aplikacije, jer su pogođene i verzija za mobilne uređaja i verzija za veb čitače.

Ranjivost nazvana Originull, pripada grupi tzv. cross-origin bypass-attack ranjivosti, koje predstavljaju kršenje same-origin politike. Same-origin politika ne dozvoljava da se na veb stranici koriste skripte i sadržaj sa drugih domena, kako bi se spriječilo umetanje malicioznog sadržaja.

Problem se javlja prilikom komunikacije Facebook-a, na domenu facebook.com, sa serverom koji služi za upravljanje chat komunikacijom koji se nalazi na drugom domenu.

Kako bi se omogućila ova komunikacija potrebno je poslati dodatne header-e, Access-Control-Allow-Origin i Access-Control-Allow-Credentials. Zbog greške moguće je u Access-Control-Allow-Origin header-u postaviti null vrijednost što omogućava bilo kome pristup sadržaju.

Za eksploataciju dovoljno je da korisnik posjeti malicioznu veb stranicu, što omogućava napadaču pristup svim konverzacijama, ali i slikama koje su poslate korišćenjem ove chat aplikacije.

End-to-end enkriptovane poruke nisu pogođene.

Objavljen je dokaz za ovu ranjivost čiju demonstraciju možete pogledati na youtube.com.

Izvor:thehackernews.com

Leave a Reply