Facebook kurucusu Mark Zuckerberg’in “mahremiyet odaklı sosyal medya” vizyonunu [1] açıklamasının üzerinden daha 1 hafta bile geçmeden, Impreva şirketinden güvenlik araştırmacısı Ron Masas, Facebook Messenger’da kimlerle sohbet ettiğinizi ortaya döken bir açığı raporladı [2].
Masas, kimin kiminle sohbet ettiğini belirlemek için Messenger web sitesinin iFrame kullanımından yararlanmanın bir yolunu keşfetti. Ron Masas daha önce de, Facebook kullanıcılarının konum geçmişlerini, beğenilerini ve ilgi alanların gibi çok kişisel bilgilerin görülmesine izin veren başka bir açığı raporlamıştı.
Hackerlar, bir kullanıcıyı kötücül kod içereb bir web sayfasının bağlantısını ziyaret etmeye kandırarak (oltalama-phishing), tekniği uygulamaya geçirebilirler. Kullanıcı bu web sayfasının herhangi bir yerine tıklarsa (belki de “video oynat” düğmesine tıklanarak çoğaltılarak), o kullanıcının belirli bir kişiyle iletişim içinde olup olmadığını belirlemek için Messenger’ı sorgulayan arka planda yeni bir tarayıcı penceresi açılabilir.
Facebook Messenger’ın uygulama sürümlerinde bulunmayan açık, görüşmelerin içeriğini ortaya çıkarmak için değil görüşme yaptığınız kişiyi görmek için kullanılabiliyor. İş rekabeti, istihbarat teşkilatı veya kıskanç bir partnerseniz bu açık kullanılabilir.
Masas, açığı Facebook’a bildirdiğini ve şirketin de 2018 sonunda Messenger’ın web sürümündeki bu açığı düzelttiğini söylüyor. Ancak daha sonraki araştırmalarında düzeltmenin yetersiz olduğunu tespit etmiş;
“Kendi açıkları bildirme sorumluluk programları çerçevesinde, Facebook sorunu ele aldı. Benim ortaya koyduğum kavramı aşmak için rastgele iframe unsurları yaratarak sorunu hafiflettiler. Ancak, biraz çalıştığında, algoritmamı uyarlayıp ve iki durumu birbirinden ayırdığımda elde ettiğim bulguları Facebook’a yeniden ilettim. Bunun sonucunda Messanger arayüzünden tüm iframe’leri kaldırma kararı verdiler.”
[1] Zuckerberg Facebook’un Yeni Mahremiyet Odaklı Vizyonunu Duyurdu
[2] Mapping Communication Between Facebook Accounts Using a Browser-Based Side Channel Attack