Исследователь из Cynet Израэль Гурт (Ysrael Gurt) обнаружил уязвимость в Facebook Messenger, позволяющую читать чужие личные сообщения и ставящую под угрозу безопасность данных 1 млрд. пользователей. С ее помощью злоумышленник может получить доступ к содержимому сообщений, в том числе к прикрепленным файлам и фотографиям.
Для того чтобы проэксплуатировать уязвимость, хакеру достаточно лишь заставить жертву зайти на вредоносный сайт. Как только пользователь нажмет на вредоносную ссылку (в браузере или в приложении, неважно), все беседы станут видны злоумышленнику. Атака, получившая название “Originull”, позволяет обойти политику единства происхождения и использовать сторонний сайт для доступа к личным сообщениям пользователей Facebook.
Как правило, браузер защищает пользователей от подобных атак, разрешая получать доступ к подобной информации только страницам Facebook. Однако сам Facebook открыл “мост” для своих “подсайтов”, разрешая им получать доступ к сообщениям. Уязвимость возникает при некорректной идентификации данных “подсайтов”. Исследователь уведомил Facebook о проблеме, и в настоящее время она уже устранена. (Facebook/NovostIT)
