À medida que o suposto foco de Mark Zuckerberg em privacidade avança, um pesquisador revelou suas descobertas de uma vulnerabilidade do Facebook Messenger que poderia potencialmente expor informações sobre com quem os usuários vinham se comunicando.
A empresa de software de cibersegurança Imperva — que anteriormente identificou um outro bug que permitia que sites visses os likes, histórico de local e interesses — compartilhou seu relatório sobre a vulnerabilidade em um post de blog feito pelo pesquisador Ron Masas na quinta-feira (7). Por meio de um navegador do usuário, um hacker poderia potencialmente explorar propriedades de iframe para ver com quem esse usuário vinha conversando no Messenger.
Masas disse que era possível para um hacker fazer isso basicamente atraindo um usuário do Messenger a clicar em um link para um site malicioso. Uma vez que eles clicavam em qualquer lugar da página, uma nova janela abria, potencialmente fora da vista do usuário, permitindo ao hacker sondar se o usuário estava ou não em uma conversa com outros usuários do Facebook no Messenger. Depois de Masas sinalizar o problema para o Facebook pela primeira vez, ele conseguiu contornar o conserto inicial da empresa:
Tendo relatado a vulnerabilidade para o Facebook em seu programa de revelação responsável, o Facebook amenizou o problema ao criar aleatoriamente elementos de iframe, que inicialmente quebraram minha prova de conceito. Entretanto, depois de algum trabalho, consegui adaptar meu algoritmo e distinguir entre os dois estados. Compartilhei minha descoberta com o Facebook, que decidiu remover completamente todos os iframes da interface de usuário do Messenger.
A empresa apontou que o problema não é especificamente de sua plataforma, mas confirmou que havia atualizado seu código e removido os iframes de seu aplicativo web de Messenger.
“O problema em seu relato vem da maneira como os navegadores lidam com conteúdo incorporado em páginas web e não é específico do Facebook”, disse um porta-voz da empresa em um comunicado ao Gizmodo. “Fizemos recomendações a fabricantes de navegadores e grupos de padrões de web relevantes para incentivá-los a tomar medidas para impedir que esse tipo de problema aconteça em outras aplicações web e atualizamos a versão web do Messenger para garantir que esse comportamento de navegador não seja desencadeado em nosso serviço.”
Esta é uma semana interessante para se ter notícias como essa, já que ela entra em conflito com a visão focada em “privacidade” de Zuckerberg para a união profana entre WhatsApp, Facebook e Instagram. O CEO da rede social escreveu em um post extraordinariamente longo de Facebook nesta semana que acredita que “uma plataforma de comunicação focada em privacidade se tornará ainda mais importante do que as plataformas abertas de hoje em dia. A privacidade dá às pessoas a liberdade de serem elas mesmas e de se conectar mais naturalmente, motivo pelo qual construímos redes sociais”. E ainda assim…
Vale ressaltar que, embora ainda seja um problema de privacidade, a vulnerabilidade não parece liberar quaisquer outros detalhes relacionados aos chats, a não ser se um usuário estava em comunicação com outro usuário ou bot. Mas, como Masas observou, “os ataques de canal lateral em navegador ainda são um assunto negligenciado, enquanto grandes players como Facebook e Google estão se aproximando (de lidar com o problema), a maioria da indústria ainda não sabe”.