O Facebook Messenger é hoje um dos serviços mais usados pelos utilizadores para troca de mensagens. Este serviço tem vindo a crescer tanto ao nível de utilizadores (mais de 900 milhões) como ao nível de funcionalidades mas parece que a segurança do mesmo tem ficado esquecida.
De acordo com um investigador belga, os links partilhados em privado no Facebook Messenger podem ser vistos por todos!
Se confia no Facebook Messenger para partilhar tudo e mais alguma coisa então é melhor que mude de opinião. Segundo um investigador belga, os links que partilhamos através do Facebook Messenger estão expostos ao público.
A primeira vez que partilhamos um determinado link via Facebook Messenger, o sistema de crawler do Facebook extrai o título, a descrição, a imagem e guarda essa informação na sua base de dados. Da próxima vez que essa informação necessite de ser apresentada, basta ir à base de dados, recolher a informação e apresentar! Nada de errado com este modelo…apenas falha a parte da segurança.
Segundo o investigador, a todos os objectos guardados é atribuído um identificador único. Estando um programador a trabalhar na API do Facebook, este pode fazer pedidos e obter informação dos links partilhados em privado no Facebook messenger.
O investigador reportou a vulnerabilidade aos responsáveis pelo Facebook que curiosamente referiram que não iriam corrigir o problema até porque é para ser assim.
Esta nova vulnerabilidade aparece depois da Checkpoint ter descoberto uma outra que permitia a um utilizador mal-intencionado interferir nas conversações do Facebook Online Chat e na app Messenger, podendo inclusive modificar ou eliminar qualquer mensagem, foto, ficheiro, link, etc.
A equipa de segurança do Facebook foi informada acerca desta vulnerabilidade no início deste mês. A empresa respondeu imediatamente e após um trabalho conjunto com a Check Point a ameaça foi mitigada.
A “nova” descoberta está toda documentada aqui! De salientar que para ter acesso aos links o utilizador necessita de ter uma conta de programador. Esta é uma falha grave, até porque os utilizadores partilham muitos links que levam a conteúdos muito pessoais como por exemplo fotografias, documentos, etc.