Otro día, otro fallo de seguridad de Facebook. A pocas horas de haber revelado sus intenciones de "construir una plataforma enfocada en la privacidad", la empresa nuevamente se ve envuelta en otro incidente de seguridad que tiene que ver con las conversaciones de Messenger.
El error de seguridad, conocido como fuga de marcos entre sitios (CSFL), se valió de elementos del código web para poder visualizar a los contactos con quienes te habías mensajeado. El fallo es similar al reportado en noviembre pasado, en donde era posible acceder información personal por medio de un ataque de falsificación de solicitudes.
De acuerdo con Ron Masas, analista de seguridad de Imperva, este fallo se aprovechó de las vulnerabilidades en las propiedades de los iframes, presentes en la versión de Messenger para navegador.
Para poder conocer con quién te habías mensajeado, bastaba esconder código malicioso en una página web. Si el usuario no había cerrado su sesión en Facebook, el código realizaba un análisis del estado del iframe para saber si el usuario había o no contactado a otra persona.
Masas, quien descubrió el fallo de seguridad de noviembre, indicó que envió los resultados de sus pruebas a la tecnológica. Luego de un primer parche poco exitoso, Facebook decidió remover el uso de iframes en Messenger con el fin de no exponer más la privacidad de los usuarios.
Vale la pena mencionar que este error no permitió acceder al contenido de las conversaciones como tal. A diferencia de la vulnerabilidad inicial, que permitía realizar peticiones de búsqueda para extraer datos personales, el fallo de Messenger solo permitía registrar dos estados en el iframe: si el usuario había o no iniciado una conversación con otro contacto.
El investigador indica que este tipo de ataques sigue siendo un tema que se pasa por alto, ya que la mayoría de la industria aun los desconoce.