Vulnerabilidad simple permite que los hackers puedan leer todos los chats privados de Facebook Messenger

Un investigador de seguridad ha descubierto una vulnerabilidad crítica en Facebook Messenger que podría permitir a un atacante leer toda su conversación privada, que afecta a la privacidad de alrededor de 1 mil millones de usuarios de Messenger.

Ysrael Gurt, el investigador de seguridad en BugSec y Cynet, informó un cross-origin bypass-attack contra Facebook Messenger que permite a un atacante acceder a sus mensajes, fotos, así como archivos adjuntos enviados en el chat de Facebook.

Para aprovechar esta vulnerabilidad, lo que realiza el atacante es engañar a la víctima para que visite un sitio web malicioso; eso es todo. Una vez que se hace click, todas las conversaciones privadas por la víctima, ya sea de aplicación móvil de un Facebook o un navegador web, sería accesible para el atacante, debido a la falla afectó tanto el chat en la web, así como la aplicación móvil.

Apodado " Originull ," la vulnerabilidad en realidad se encuentra en el hecho de que los chats de Facebook se gestionan desde un servidor ubicado en {número}-edge-chat.facebook.com, que está separado del dominio real de Facebook (www.facebook.com).

La raíz de este problema es que estaba mal configurada la aplicación de encabezado de origen y el dominio del servidor de chat de Facebook, que permite a un atacante eludir los controles de origen y acceder a los mensajes de Facebook de una página web externa.

Gurt también ha publicado un vídeo de demostración de prueba de concepto de la vulnerabilidad Originull, que muestra el cross-origin bypass-attack en acción.


Si quieres consultar el informe técnico completo, puedes hacerlo desde este enlace.