影響Web版本的Facebook Messenger的漏洞可能已經(jīng)暴露了您在該平臺(tái)上正在聊天的人。

Imperva安全研究員Ron Masas發(fā)現(xiàn)了該漏洞，并將其秘密報(bào)告給Facebook。該社交網(wǎng)絡(luò)已經(jīng)推出了修復(fù)程序。

Masas在周四的博客文章中寫道：“我開始在Messenger Web應(yīng)用程序中閑逛，發(fā)現(xiàn)iFrame元素在用戶界面中占主導(dǎo)地位。” “我決定隨時(shí)間記錄盡可能多的端點(diǎn)的iFrame計(jì)數(shù)數(shù)據(jù)，目的是發(fā)現(xiàn)有趣且可檢測的狀態(tài)。”

他確實(shí)注意到了一個(gè)有趣的模式：

Masas解釋說：“當(dāng)當(dāng)前用戶尚未與特定用戶聯(lián)系時(shí)，iFrame計(jì)數(shù)將達(dá)到3，然后總是突然下降幾毫秒。” “這可能使[攻擊者]遠(yuǎn)程檢查當(dāng)前用戶是否與特定的人或企業(yè)聊天，這將侵犯這些用戶的隱私。”

攻擊者可以通過簡單地誘使Messenger用戶訪問惡意網(wǎng)站，然后誘使他們單擊頁面上的任意位置，例如按可愛的貓視頻上的播放，來利用此漏洞。

Masas寫道，為了更正該錯(cuò)誤，F(xiàn)acebook從Messenger用戶界面中刪除了所有iFrame。

在周五給PCMag的聲明中，F(xiàn)acebook說從技術(shù)上講這不是Messenger錯(cuò)誤。