ثغرة في ماسنجر سمحت بمعرفة الأشخاص الذين تتواصل وذلك وفقا لما نشره باحث أمني
عانت منصة التراسل ماسنجر المملوكة لشركة فيسبوك من خلل سمح للقراصنة باستهداف الأشخاص من خلال متصفح الويب الخاص بهم لمعرفة مع من كانوا يتحدثون عبر ماسنجر، وذلك وفقًا لما نشره أحد الباحثين الأمنيين.
وقال رون ماساس Ron Masas، الباحث في شركة إمبيرفا الأمنية Imperva، إنه تم الكشف عن هذا الخطأ في العام الماضي وتم إصلاحه، إلا أنه يشكل أحدث مثال على المخاوف المتعلقة بالخصوصية والأمن التي عانت منها فيسبوك خلال العام الماضي.
ويمكن أن يستغل المخترق خصائص iframe، والتي تسمح لمواقع الويب بعرض محتوى من مصدر خارجي، لمعرفة مع من كان هذا المستخدم يتحدث عبر ماسنجر، بغض النظر عن كونهم متواجدين ضمن قائمة الأصدقاء، وذلك باستخدام متصفح المستخدمين.
وأوضح ماساس أن الهاكر يمكنه القيام بذلك عن طريق حث مستخدم ماسنجر للنقر على رابط سيئ يقوده إلى موقع خبيث.
ويتم فتح نافذة جديدة خارج نطاق رؤية المستخدم بمجرد النقر على أي مكان في الصفحة الخبيثة، مما يسمح للهاكر بالتحقق مما إذا كان المستخدم قد أو لم يكن في محادثة مع مستخدمي فيسبوك الآخرين على ماسنجر.
وقال الباحث الأمني: “قامت فيسبوك بعد الإبلاغ عن الخلل بتخفيف المشكلة عن طريق إنشاء عناصر iframe عشوائيًا. ومع ذلك، وبعد بعض العمل، تمكنت من تكييف الخوارزمية والنجاح من جديد. شاركت الاكتشاف مع فيسبوك، والتي قررت إزالة جميع إطارات iframe بالكامل من واجهة مستخدم ماسنجر”.
ولاحظت فيسبوك أن المشكلة ليست خاصة بمنصتها، لكنها أكدت أنها قامت بتحديث التعليمات البرمجية وأزالت جميع إطارات iframes من تطبيق ماسنجر على الويب المستخدمة لإعادة ضبط المحتوى أو النص عند تغيير حجم نافذة ماسنجر.
وأشار متحدث باسم الشركة إلى أن المشكلة تنبع من الطريقة التي تتعامل بها متصفحات الويب مع المحتوى المضمن في صفحات الويب وليست خاصة بفيسبوك.
وأضاف أن فيسبوك قدمت توصيات إلى صانعي المتصفحات ومجموعات معايير الويب ذات الصلة لتشجيعهم على اتخاذ خطوات لمنع حدوث هذا النوع من المشكلات في تطبيقات الويب الأخرى، وقامت بدورها بتحديث إصدار الويب من ماسنجر لضمان أن سلوك المتصفح هذا لا يتم تشغيله في خدمتها.
وكانت شركة برمجيات الأمن السيبراني إمبيرفا Imperva قد اكتشفت في وقت سابق خللًا آخر سمح لمواقع الويب بمشاهدة إبداءات الإعجاب لمستخدمي فيسبوك، وسجل الموقع الجغرافي، والاهتمامات.
تجدر الإشارة إلى أنه بالرغم من كون هذا الخلل يشكل ثغرة خصوصية، إلا أنه لا يؤدي إلى حصول الهاكر على أي تفاصيل أخرى ذات صلة بالدردشات نفسها بخلاف ما إذا كان المستخدم يتواصل مع مستخدم آخر، وهو ما أكدته إمبيرفا.
