Một nhóm nghiên cứu đã phát hiện ra tin tặc có thể lợi dụng Facebook Messenger dùng website khác để thấy được liên hệ mà người dùng đã nhắn tin.

Lỗ hổng trên Facebook Messenger khiến kẻ xấu thấy được liên hệ của người dùng

Gần một năm trước, một nhóm nghiên cứu tên Imperva đã phát hiện ra lỗ hổng trên Facebook Messenger mà kẻ xấu có thể dùng để biết được các liên hệ người dùng đã liên lạc. Sau đó họ đã tiết lộ cho Facebook và công ty đã vá lỗi này.

Các hacker có thể nhắm đến người dùng Facebook trên trình duyệt và khai thác những thẻ iframe để thấy những bạn bè mà họ đã liên lạc, thậm chí là liên hệ không có trong danh sách. Nhóm Imperva xác nhận tin tặc không thể thu thập những dữ liệu khác từ cách tấn công này.

Hồi tháng 11 năm ngoái, Messenger cũng xuất hiện lỗi, người dùng sẽ bị xâm hại nếu truy cập website độc hại trên Chrome và bấm vào trang này trong lúc đang đăng nhập. Kẻ xấu có thể chiếm được quyền truy cập để chạy các lệnh truy vấn trên cửa sổ Facebook sau đó khai thác dữ liệu cá nhân.

Sau khi Imperva báo cáo lỗi cho Facebook, công ty đã khắc phục lỗi bằng cách đặt ngẫu nhiên các thẻ iframe, đây là thành phần HTML mà hacker sử dụng. Tuy nhiên, nhóm nghiên cứu tiếp tục cho biết hacker vẫn có thể dùng thuật toán khác để xâm phạm những tin nhắn riêng tư. Cuối cùng Facebook buộc phải xóa toàn bộ thẻ iframe khỏi Messenger.

Chuyên gia Ron Masas thuộc nhóm nghiên cứu viết trong báo cáo: ”Cách tấn công dựa trên trình duyệt vẫn chưa được quan tâm đúng mức. Dù nhiều công ty lớn như Facebook và Google đã nắm được vấn đề, hầu hết nền công nghiệp chưa thực sự để tâm. Kỹ thuật tấn công chưa phổ biến nhưng hình thức này có thể bùng nổ trong năm 2019”.

Sau nhiều vụ xâm phạm đến thông tin người dùng, mới đây CEO Mark Zuckerberg đã thông báo kế hoạch gộp Messenger, WhatsApp, và Instagram thành một dịch vụ liên lạc tập trung bảo vệ quyền riêng tư người dùng.

Theo The Verge

Góc quảng cáo