Facebook Messenger soluciona el error de seguridad que exponía con quién conversaban sus usuarios

Hasta ahora, un atacante que lograse hacerse con los metadatos sobre el estado de la página, podía obtener información sensible del usuario mientras estuviera registrado en su sesión

Actualizado:

Facebook Messenger ha solucionado una vulnerabilidad en su versión webque exponía información personal de sus usuarios, permitiendo averiguar con qué otras personas habían mantenido conversaciones.

Según ha advertido el experto en ciberseguridad Ron Masas desde su blog, la vulnerabilidad se basa en un ataque de canal paralelo (CSFL, por las siglas en inglés 'Criss-Site Frame Leakage'), que puede utilizarse para obtener metadatos de los usuarios con información sensible.

Esta vulnerabilidad reside en la versión web de Messenger, a través del sistema de «frames» que utiliza, es decir, de su marco web. A través de un «exploit» en el navegador, la vulnerabilidad hace posible obtener las propiedades de origen de los elementos de la página, para obtener metadatos sobre su estado.

En publicaciones anteriores, Masas había demostrado que la información de metadatos expuesta en los «frames» de las páginas web podría exponer datos como los «Me gusta» de Messenger o el historial de localizaciones del usuario.

Ahora, una prueba de concepto basada en el código de la aplicación realizada por el experto ha demostrado que si un atacante consigue hacerse con los metadatos sobre el estado de la página, puede obtener información sensible del usuario mientras este se encuentra registrado en su sesión.

Entre estos datos, el investigador ha destacado que resultaba posible obtener la identidad de las personas con las que un usuario de Facebook Messenger había conversado a través de su chat en la versión web.

Para infectar al usuario con el «exploit» en su navegador web, solamente es necesario dirigirle a un sitio web malicioso externo a Messenger y conseguir que haga clic en el mismo, mientras el sitio se hace con sus metadatos de Messenger.

Masas, tras advertir el problema de seguridad inicialmente, puso la vulnerabilidad en conocimiento de Facebook, quien ha solucionado el problema mediante la difusión de una actualización del código de su aplicación web.