Ron Masas, un investigador de seguridad del grupo Imperva, publicó en el blog una nueva vulnerabilidad en Facebook Messenger que permitía a aplicaciones de terceros compartir las conversaciones de los usuarios de la red social.

El fallo de seguridad detectado por los investigadores, identificada como CSFL (Fuga de marcos entre sitios) permitía que terceros accedieran a tus conversaciones privadas de Facebook Messenger.

De acuerdo con Imperva, la vulnerabilidad CSFL podría explotar las propiedades de los elementos iFrame o marcos, que serían las ventanas de los chats en Messenger, para determinar el estado de una aplicación.

El ataque inyectaba un código malicioso a través de los contactos individuales de Messenger generaría uno de dos estados, completo o vacío. Si el usuario no cerraba su sesión de Facebook, el proceso analizaba el iframe, para determinar con qué personas te habías comunicado según el valor de los estados.

El investigador afirma que esta vulnerabilidad es similar a la detectada en noviembre pasado, si bien, Facebook tomó acciones y parcheó el fallo en aquel momento, todo parece indicar que no fue suficiente.

Facebook emitirá nuevas reglas de transmisión en vivo tras presiones de Australia

Facebook fue notificado por el grupo Imperva acerca de esta nueva vulnerabilidad  y tomó las medidas al respecto. Asimismo, los investigadores señalan que en esta ocasión no se pudo acceder al contenido de las conversaciones de Messenger, pero sí podían conocer con quién habías chateado mediante la lectura de los estados del iframe.

Aunque el equipo reveló que esta vulnerabilidad se ha parcheado correctamente, no deja de ser preocupante que una vez más Facebook haya permitido este tipo de fallos, aún cuando la compañía prometió recientemente que sería mucho más segura para los usuarios.

Cabe destacar que este tipo de ataques CSFL es poco común en las plataformas, pero ha sido implementando por los atacantes debido a su eficacia y la poca desinformación y acciones para invalidarlo.

Más en TekCrispy