Bug sederhana memungkinkan Hacker untuk membaca semua percakapan Anda di Facebook Messenger


Seorang peneliti keamanan telah menemukan kerentanan kritis di Facebook Messenger yang bisa memungkinkan seorang penyerang untuk membaca semua percakapan pribadi Anda, mempengaruhi privasi sekitar 1 Miliar pengguna Messenger.

Ysrael Gurt, peneliti keamanan di BugSec dan Cynet, melaporkan lintas asal memotong-serangan terhadap Facebook Messenger yang memungkinkan penyerang untuk mengakses pesan pribadi Anda, foto serta lampiran dikirim pada Facebook chat.

Untuk mengeksploitasi kerentanan ini, semua kebutuhan penyerang adalah untuk mengelabui korban agar mengunjungi situs berbahaya. Setelah diklik, semua percakapan pribadi oleh korban, baik dari aplikasi mobile Facebook atau web browser, akan dapat diakses oleh penyerang, karena bug yang terdapat dalam Facebook Messenger ini baik web chat ataupun  mobile facebook.

Dijuluki "Originull," kerentanan sebenarnya terletak pada kenyataan bahwa Facebook chatting dikelola dari server yang terletak di {jumlah} -edge-chat.facebook.com, yang terpisah dari domain yang sebenarnya Facebook (www.facebook.com).
"Komunikasi antara JavaScript dan server dilakukan dengan XML HTTP Request (XHR). Dalam rangka untuk mengakses data yang tiba dari 5-edge-chat.facebook.com di JavaScript, Facebook harus menambahkan "Access-Control-Allow-Origin" header dengan asal pemanggil, dan "Access-Control-Allow-Credential" header dengan bernilai "benar", sehingga data dapat diakses bahkan ketika cookie dikirim," Gurt menjelaskan.
Akar masalah ini terkonfigurasi pelaksanaan sundulan lintas asal pada domain server obrolan Facebook, yang memungkinkan seorang penyerang untuk memotong cek asal dan pesan akses Facebook dari situs eksternal.
Gurt juga telah merilis bukti-of-konsep video demonstrasi kerentanan Originull, yang menunjukkan cross-asal memotong-serangan dalam tindakan.

Namun, Percakapan Rahasia , Facebook Messenger ini dienkripsi chatting end-to-end fitur tidak terpengaruh oleh bug ini, karena dapat dimulai atau diluncurkan hanya menggunakan aplikasi mobile.
"Lubang keamanan ini berarti bahwa pesan dari 1 miliar pengguna aktif Messenger bulanan yang rentan terhadap penyerang," kata Stas Volfus, Chief Technology Officer BugSec.

"Ini adalah masalah yang sangat serius, tidak hanya karena tingginya jumlah pengguna yang terkena, tetapi juga karena bahkan jika korban mengirim pesan mereka menggunakan komputer lain atau mobile, mereka masih benar-benar rentan."
Peneliti mengungkapkan kerentanan parah Facebook melalui program Bug Bounty nya. Tim keamanan Facebook mengakui masalah dan ditambal komponen rerentan.

Reaksi:
Share this with short URL:

You Might Also Like:

How to style text in Disqus comments:
  • To write a bold letter please use <strong></strong> or <b></b>.
  • To write a italic letter please use <em></em> or <i></i>.
  • To write a underline letter please use <u></u>.
  • To write a strikethrought letter please use <strike></strike>.
  • To write HTML code, please use <code></code> or <pre></pre> or <pre><code></code></pre>.
    And use parse tool below to easy get the style.
Show Parser Hide Parser