Araştırmacılar, kasım ayında Facebook‘taki bir açığın web sitelerine kullanıcıların profilinden bilgi çekme imkanı sağladığını ortaya çıkarmıştı. Söz konusu açığın siteler arası çerçeve sızıntısından (CSFL) kaynaklandığı belirtilmişti. Aynı araştırmacı grubu bir zamanlar benzer bir açığın Facebook Messenger için de geçerli olduğunu ortaya çıkardı.
Söz konusu açığın hâlihazırda kapatılmış olduğunu en baştan belirtmekte fayda var. Bu açık sayesinde Facebook Messenger’da konuşulan kişilerin başka web siteleri tarafından da görüntülenebildiği belirtildi.
İlgili açıkları ortaya çıkaran Imperva, konuya ilişkin detayları güvenlik araştırmacısı Ron Masas’ın imzasını taşıyan bir blog yazısıyla anlattı. Masas, CSFL saldırılarıyla uygulamaların durumlarını belirleyen iFrame unsurlarının kötüye kullanılabildiğini belirtti. Bu sürecin Messenger kişileri için de işletilebildiğini söyleyen Masas, bu sayede o kişiyle uygulama üzerinde iletişim kurup kurmadığının görülebildiğini ifade etti.
İlgili güvenlik açığının çapı bunun ötesine geçmiyor. Web siteleri konuşmalara erişemiyor veya sohbet geçmişinden veri çekemiyor. Kötü niyetli kişiler veya internet siteleri, bu açık sayesinde sadece ikili veriler oluşturabiliyor ve çok az alanda bu verileri kullanabildi.
Masas’ın Facebook’u durumdan haberdar etmesiyle birlikte söz konusu açık kapatıldı. Tüm iFrame unsurlarının çıkarılması sayesinde Facebook Messenger yeniden güvenli bir iletişim platformu hâline geldi. Tarayıcı tabanlı yan kanal saldırıları konusunda hâlâ yeterli bilincin oluşmadığını belirten Masas, Facebook ve Google gibi şirketlerin farkındalığının tüm sektöre yayılmasını beklediklerini dile getirdi.
Teknoblog’u X, Flipboard, Google Haberler ve Instagram‘da takip et!
