Facebook solucionó una falla de Messenger en su versión en línea que exponía datos personales de sus usuarios, permitiendo averiguar con qué otras personas habían mantenido conversaciones.
Según advirtió el experto en ciberseguridad Ron Masas desde su blog, la falla se basa en un ataque de canal paralelo (CSFL, por las siglas en inglés Criss-Site Frame Leakage), que puede utilizarse para obtener metadatos de los usuarios con información sensible.
Este problema reside en la versión en línea de Messenger, a través del sistema de frames que utiliza, es decir, de su marco web. A través de un exploit en el navegador, la falla hace posible obtener las propiedades de origen de los elementos de la página, para obtener metadatos sobre su estado.
En publicaciones anteriores, Masas había demostrado que la información de metadatos expuesta en los frames de las páginas web podría exponer datos como los Me gusta de Messenger o el historial de localizaciones del usuario.
Ahora, una prueba de concepto basada en el código de la app realizada por el experto demostró que si un atacante consigue hacerse con los metadatos sobre el estado de la página, puede obtener información personal del usuario mientras este se encuentra registrado en su sesión.
Entre estos datos, el investigador destacó que resultaba posible obtener la identidad de las personas con las que un usuario de Facebook Messenger había conversado a través de su chat en la versión web.
Para infectar al usuario con el exploit en su navegador, solamente es necesario dirigirle a un sitio malicioso externo a Messenger y conseguir que haga clic en el mismo, mientras el sitio se hace con los metadatos de Messenger.
Masas, tras advertir el problema de seguridad inicialmente, puso la vulnerabilidad en conocimiento de Facebook, que solucionó el problema mediante la difusión de una actualización del código de su aplicación web que retiraba los frames vulnerable.
RL