Уязвимость в Facebook позволяла читать чужие сообщения в Messenger

Исследователь из Cynet Израэль Гурт (Ysrael Gurt) обнаружил уязвимость в Facebook Messenger, позволяющую читать чужие личные сообщения и ставящую под угрозу безопасность данных 1 млрд пользователей. С ее помощью злоумышленник может получить доступ к содержимому сообщений, в том числе к прикрепленным файлам и фотографиям.

Для того чтобы проэксплуатировать уязвимость, хакеру достаточно лишь заставить жертву зайти на вредоносный сайт. Как только пользователь нажмет на вредоносную ссылку (в браузере или в приложении, неважно), все беседы станут видны злоумышленнику. Атака, получившая название «Originull», позволяет обойти политику единства происхождения и использовать сторонний сайт для доступа к личным сообщениям пользователей Facebook.

Как правило, браузер защищает пользователей от подобных атак, разрешая получать доступ к подобной информации только страницам Facebook. Однако сам Facebook открыл «мост» для своих «подсайтов», разрешая им получать доступ к сообщениям. Уязвимость возникает при некорректной идентификации данных «подсайтов».

Исследователь уведомил Facebook о проблеме, и в настоящее время она уже устранена.