Podeli ovo! 
U novembru, istraživači su otkrili Facebook bug koji je omogućio web stranama da izvlače podatke iz korisničkih profila zahvaljujući sigurnosnom propustu u vezi sa cross-site frame-om (CSFL).
Isti tim je pre nekoliko dana otkrio bug koji je sada otklonjen, koji bi omogućio web stranama da otkriju s kim ste razgovarali u Facebook Messenger-u.
U postu na blogu, istraživač bezbednosti iz kompanije Imperva Ron Masas objašnjava kako CSFL napad može iskoristiti svojstva iFrame elemenata da odredi stanje aplikacije.
Pokretanje ovog procesa preko pojedinačnih Messenger kontakata dovelo bi do jednog od dva stanja, ukazujući da li je korisnik ikada komunicirao sa tim kontaktom ili ne.
CSFL ipak nije uspeo da preuzme razgovore ili povuče podatke iz istorije razgovora, već su jednostavno proizvedeni binarni podaci sa veoma ograničenim aplikacijama za zle pojedince.
Bez obzira na to, Masas je obavestio Facebook o grešci, i s obzirom na povezanost sa prethodnom, ozbiljnijom greškom, Facebook je odlučio da u potpunosti ukloni sve iFrames-ove iz Messenger korisničkog interfejsa.
„Browser-ski side-channel napadi su tema o kojoj se ne priča puno“, piše Mases na blogu Imperva. „Dok se veliki igrači kao što su Facebook i Google hvataju u koštac, većina industrije još uvek nije svesna.“
Izvor: Imperva
Komentarišite na forumu…
Dodaj komentar