Tietotorvayhtiö Check Point kertoo löytäneensä Facebook Messengeristä tietoturva-aukon, joka koski sekä mobiilisovellusta että selainversiota.
Facebook korjasi haavoittuvuuden ennen kuin tietoturvayhtiö toi asian julkisuuteen.
Tietoturvayhtiö käyttää haavoittuvuudesta nimeä MaliciousChat. Aukko mahdollisti Messenger-keskustelujen muokkaamisen. Tällä tavoin voitiin muun muassa väärentää keskusteluhistoriaa tai muuttaa toisen henkilön lähettämiä linkkejä haitallisiksi.
Aukko perustuu Messenger-keskustelut yksilöivän message_id-tunnuksen löytämiseen ja hyödyntämiseen. Tunnus oli mahdollista saada selville tekemällä kysely www.facebook.com/ajax/mercury/thread_info.php-osoitteeseen.
Kun keskustelu-id-on tiedossa, keskustelun sisältöä saattoi muuttaa mielivaltaisesti. Keskustelun osapuolet eivät saaneet push-ilmoituksia, kun muutoksia tehtiin.
Keskustelun väärentäminen onnistui vain keskusteluun osallistujilta, ei kolmansilta osapuolilta, vahvistaa Check Pointin haavoittuvuusetsinnästä vastaava Oded Vanunu Digitodaylle.
Tietoturvayhtiön mukaan aukko olisi paikkamattomana mahdollistanut muun muassa pitkään kestävät kiristysohjelmakampanjat. Kiristysohjelmien paljastuessa tietoturvaohjelmat estävät nopeasti liikenteen haitakkeiden komentopalvelimiin, mutta automatisoiduilla rutiineilla MaliciousChatilla olisi voinut syöttää dynaamisesti muuttuvia komentopalvelimien osoitteita uhrin koneelle.
Uutista päivitetty kello 10.41 tiedolla siitä, kuka keskusteluihin pääsi käsiksi.
