اشکال در پیام رسان فیسبوک به افراد دیگر اجازه دسترسی به مکالمات شما را می‌دهد

در ماه نوامبر، محققان مشکلی را در پیام رسان فیسبوک کشف کردند که به واسطه آن فیسبوک اجازه می‌یافت تا داده‌ها را از پروفایل کاربران استخراج نماید. این مشکل عمده به دلیل نقص امنیتی رابط کاربری پیام رسان فیسبوک رخ داده است. همان تیم قبلی کشف مشکل فیسبوک امروز اعلام نمودند که این ایراد برطرف شده، به وب سایت‌ها اجازه دسترسی به پیام رسان فیسبوک را می‌دهد.

رون ماساس محقق امنیتی تیم ایمپروا طی پستی در وبلاگ خود توضیح داد که چگونه یک حمله CSFL می‌تواند از خواص عناصر رابط کاربری برای تعیین وضعیت یک برنامه کاربردی استفاده کند. اجرای این فرآیند از طریق تماس فردی در پیام رسان، در یکی از دو حالت پر یا خالی آغاز می‌شود که نشان می‌دهد آیا کاربر تا به حال با این سیستم ارتباط برقرار کرده است یا خیر. نتیجه این فرایند اساسا میزان ضعف را نشان خواهد داد. این حمله نمی‌تواند مکالمات را بازیابی کرده یا داده‌ها را از حافظه چت سیستم بازیابی کند. با تکیه بر این سیستم می‌توان به سادگی داده‌های باینری را از طریق برنامه‌های بسیار محدودی برای دیگران ارسال نمود.

با این وجود، ماساس شرکت فیسبوک را از خطا مطلع ساخته و با توجه به ارتباط آن با نقص جدی قبلی، فیس بوک تصمیم گرفته است که تمام آی فریم‌ها را از رابط کاربری پیام رسان به طور کامل حذف کند. ماساس در وبلاگ ایمپروا می‌نویسد: «حملات کانال‌های مبتنی بر مرورگر همچنان یک موضوع نادیده گرفته شده است. در حالی که بازیگران بزرگ مانند فیس بوک و گوگل در حال دست و پنجه نرم کردن با این حملات هستند، دیگر توسعه دهندگان صنعت فناوری اطلاعات از این میزان نقیصه هنوز بی اطلاع هستند.»