Investigadores de seguridad han encontrado un fallo de privacidad en Facebook que permitiría a hackers saber exactamente con quien se han mantenido conversaciones en la plataforma mediante un ataque CSFL (Cross-Site Frame Leakage) debido a cómo funciona Messenger dentro de Facebook.
Messenger se implementó en forma de “iframes” en la página web principal, por lo que cada chat funciona embebido en la página principal dentro de su propio iframe. Gracias al ataque CSFL, un hacker podía consultar el estado de una conversación entre dos personas aleatorias en la plataforma sin que ninguna de las dos lo supiese, con el único requisito de que el usuario atacado abriese un enlace infectado con una aplicación JavaScript. Si la respuesta al estado de la conversación es “full”, significa que ha existido interacción, mientras que si es “empty”, no ha existido en ningún punto.
Inicialmente Facebook intentó solucionar el problema randomizando los elementos de los iframes del chat, pero Imperva, la empresa detrás de esta investigación, explica que un algoritmo podía con total seguridad revelar exactamente la misma información, por lo que Facebook decidió eliminar los iframes de Messenger por completo.
Si bien este estudio se ha realizado con Facebook, cualquier página web que contenga este tipo de elementos es susceptible de ser explotada por un atacante remoto por la forma en que los navegadores gestionan el contenido embebido en páginas web de este modo.
Fin del Artículo. ¡Cuéntanos algo en los Comentarios!