En noviembre, los investigadores descubrieron un error en Facebook que permitía a los sitios web extraer datos de los perfiles de los usuarios gracias a una falla de seguridad relacionada con la pérdida de marcos entre sitios (CSFL). Hoy, el mismo equipo ha revelado una vulnerabilidad ahora parcheada que permitiría que los sitios web expongan a quién has estado chateando en Facebook Messenger .

En una publicación del blog , el investigador de seguridad de Imperva, Ron Masas, explica cómo un ataque de CSFL podría explotar las propiedades de los elementos de iFrame para determinar el estado de una aplicación. La ejecución de este proceso a través de contactos individuales de Messenger daría lugar a uno de dos estados, completo o vacío, indicando si un usuario se había comunicado con ese contacto o no. Esa es esencialmente la extensión de la falla. No fue capaz de recuperar conversaciones o extraer datos de los historiales de chat ; simplemente produjo datos binarios con aplicaciones muy limitadas para personas infames.

No obstante, Masas hizo que Facebook se diera cuenta del error y, dada su conexión con el defecto anterior, más grave, Facebook ha decidido eliminar por completo todos los iFrames de la cara de usuario de Messenger. "Los ataques de canal lateral basados ​​en el navegador siguen siendo un tema pasado por alto", escribe Mases en el blog de Imperva. "Mientras que grandes jugadores como Facebook y Google se están poniendo al día, la mayoría de la industria aún no lo sabe".

Error de Facebook Messenger permite a otras personas ver con quién has estado hablando

La falla ahora corregida empujó a Facebook a cambiar la interfaz de la aplicación.