Bug in Facebook Messenger maakte gesprekspartners zichtbaar

De reputatie van Facebook op het vlak van privacy is ronduit slecht, maar dat hield Zuckerberg niet tegen bij zijn hoopvolle outline voor een sociaal netwerk gericht op privacy. Nu wil het toeval dat er amper een dag later een nieuwe bug in Messenger aan het licht kwam. Deze keer is het dan wel geen ingebouwd snufje van Facebook, maar het maakt de reputatie van het bedrijf niet bepaald beter.

Het gaat om een bug die specifiek te vinden was in de Messenger-app van het bedrijf. Het ging gelukkig niet om een zeer ernstige bug. De bug was een zogenaamd cross-site framelek (CSFL). In een blogpost legt Imperva beveiligingsonderzoeker Ron Masas uit hoe hackers hier in dit geval gebruik van konden maken. Via een CSFL-aanval konden hackers de eigenschappen van iFrame-elementen gebruiken om de status van een app te controleren. Als dit proces werd uitgevoerd bij afzonderlijke contacten in Messenger kregen deze ofwel een volle of lege status. Een volle status betekende dat je ooit had gecommuniceerd met dat contact en een lege status betekende dat je nog geen gesprek had gevoerd. Meer informatie dan dat kon er niet gevonden worden via de bug, waardoor er ook niet meteen enorm gevaarlijke toepassingen zijn voor hackers.

Om de bug te verhelpen, heeft Facebook nu alle iFrames uit Messenger verwijderd.