Facebook Messenger错误可能暴露了您与之聊天的人

影响Web版本的Facebook Messenger的漏洞可能已经暴露了您在该平台上正在聊天的人。

Imperva安全研究员Ron Masas发现了该漏洞，并将其秘密报告给Facebook。该社交网络已经推出了修复程序。

Masas在周四的博客文章中写道：“我开始四处查看Messenger Web应用程序，并注意到iFrame元素在用户界面中起主导作用。”“我决定随时间记录iFrame计数数据，以便发现尽可能多的端点，目的是发现有趣且可检测的状态。”

他确实注意到了一个有趣的模式：

Masas解释说：“当当前用户尚未与特定用户联系时，iFrame计数将达到3，然后总是突然下降几毫秒。”“这可能使[攻击者]远程检查当前用户是否与特定的人或企业聊天，这将侵犯这些用户的隐私。”

攻击者可以通过简单地诱使Messenger用户访问恶意网站，然后诱使他们单击页面上的任意位置，例如按可爱的猫视频播放来利用该漏洞。

Masas写道，为了更正该错误，Facebook从Messenger用户界面中删除了所有iFrame。

在周五给PCMag的声明中，Facebook说从技术上讲这不是Messenger错误。

一位Facebook发言人说：“该漏洞是一个浏览器问题，与他们如何处理嵌入在网页中的内容有关，并且可能影响任何网站，而不仅是Messenger.com。”“我们去年已经为Messenger.com解决了该问题，以保护我们的用户，并向浏览器制造商提出了建议，以防止此类问题的发生。”