Theo Engadget, tháng 11 năm ngoái, các nhà nghiên cứu đã phát hiện ra một lỗi của Facebook cho phép các trang web trích xuất dữ liệu từ hồ sơ của người dùng nhờ một lỗ hổng bảo mật liên quan đến rò rỉ khung chéo trang web (CSFL). Giờ đây, nhóm cũng đã tiết lộ một lỗ hổng (hiện đã được vá) cho phép những người khác nhìn thấy những người bạn đã trò chuyện trong Facebook Messenger.
Cụ thể, nhà nghiên cứu bảo mật Ron Masas của Imperva giải thích rằng một cuộc tấn công CSFL có thể khai thác các thuộc tính trong các phần tử iFrame để xác định trạng thái của một ứng dụng. Việc chạy quy trình này thông qua các liên hệ Messenger riêng lẻ sẽ tạo ra một trong hai trạng thái, đầy hoặc trống, cho biết liệu người dùng đã từng liên hệ với liên hệ đó hay chưa. Về cơ bản nó là một lỗ hổng, mặc dù nó không thể truy xuất các cuộc trò chuyện hoặc lấy dữ liệu từ lịch sử trò chuyện.
Chính Facebook đã nhận ra lỗi này và liên kết nó với lỗ hổng mạng này vào năm ngoái, từ đó quyết định gỡ bỏ hoàn toàn tất cả các iFrames khỏi Messenger.
\N
Vấn đề là, như Masas nói, các cuộc tấn công dựa trên trình duyệt là rất nguy hiểm. Trong khi các công ty lớn như Facebook hay Google nhanh chóng khắc phục sự cố thì hầu hết các công ty khác không thể theo kịp điều này.
