导语:安全研究员在Facebook Messenger上发现了一个比较严重的漏洞,可以允许攻击者查看所有的隐私聊天记录,预估这一漏洞将影响近10亿Messenger用户。

facebook-messenger-espana.jpg

安全研究员在Facebook Messenger上发现了一个比较严重的漏洞,可以允许攻击者查看所有的隐私聊天记录,预估这一漏洞将影响近10亿Messenger用户。

Ysrael Gurt,一位来自BugSec 和Cynet的安全研究员,在Facebook Messenger上发现了一个跨域绕过攻击(cross-origin bypass-attack)漏洞,可允许攻击者查看你的私人信息、以及通过Facebook Messenger发送的照片和附件。

如果要成功利用这个漏洞,攻击者需要诱骗受害者访问一个恶意网站上,并且只要受害者访问恶意网站就足够了,足以完成攻击过程。一旦受害者点开了恶意网站,受害者在Facebook上的聊天信息(无论是移动APP还是网页)就全部暴露给了攻击者。

攻击详情

这个漏洞不仅会影响网页版的Facebook Messenger,还会影响移动APP版的Facebook Messenger。Ysrael Gurt已经将这一漏洞命名为了Originull,Facebook Messenger是托管在一个位于{number}-edge-chat.facebook.com的服务器上,和Facebook真正的域名(www.facebook.com)是有区别的。

JavaScript和服务器之间的通信是通过XML HTTP请求(XHR)完成的。为了访问5-edge-chat.facebook.com的数据,Facebook必须添加Access-Control-Allow-Origin头部至caller’s origin,并且Access-Control-Allow-Credentials头部的值要设置为true,这样的话就能查看所有的信息了。

跨域头部工具配置有误

真正的原因是Facebook聊天服务器域名的跨域头部工具配置有误,攻击者可以以此绕过域名检查,从外网访问Facebook的聊天信息。但是,对于secret conversation 聊天模式(也就是Facebook Messenger的端对端加密聊天功能)不受该漏洞的影响。

BugSec的首席技术官Stas Volfus表示:

这是一个非常严重的安全问题,不仅仅是因为受害人群比较广,还有一个更为严重的方面,即使受害者用另外一台电脑或者手机发送信息,攻击者同样能查看其发送的信息。

Ysrael Gurt是在Facebook发起的漏洞奖金计划项目中发现的这一漏洞,Facebook的安全团队已经知晓该漏洞的存在,并且也已经修复。

源链接

Hacking more

...