Pull to refresh
0
Inoventica Services
VPS / хостинг / домены / защита от DDoS

Facebook Messenger был уязвим к атаке, требующей базовые знания HTML

Reading time 1 min
Views 18K
image

Команда специалистов Check Point security обнаружила в стандартном функционале Facebook, а так же в Facebook Messenger, уязвимость, которая позволяла получить доступ к любым отправленным через социальную сеть сообщениям пользователей.

Конкретно эксплоит позволял кому угодно получить доступ к сообщениям пользователей и изменять их содержимое, то есть, например, потенциально распространять вредоносное ПО.

Для использования эксплоита злоумышленнику нужно было заполучить только уникальный ID сообщения через отправку запроса на www.facebook.com/ajax/mercury/thread_info.php.

Вся операция требует только базового знания HTML и современного браузера, в котором есть режим отладки. После нахождения ID сообщения, злоумышленник может изменить его, сообщения, содержание и отправить его на сервера Facebook в обход учетной записи реального пользователя.

image
Изменение сообщения

В чем заключалась опасность данной уязвимости? Facebook, как социальная сеть, давно стал частью жизни своих пользователей и используется для самых разных целей: как передачи информации, ссылок и прочего, так вплоть и для достижения предварительных договоренностей и заключения сделок. Возможность же изменять содержимое переписки без взлома учетной записи дает злоумышленникам инструмент давления на пользователя и фальсификации данных.


Видео, демонстрирующее возможности эксплоита

После обнаружения уязвимости специалисты сообщили о ней Facebook и дыра была оперативно закрыта.
Tags:
Hubs:
+12
Comments 5
Comments Comments 5

Articles

Information

Website
invs.ru
Registered
Founded
1999
Employees
51–100 employees
Location
Россия