Un fallo en Messenger dejó al descubierto con quién hablaron los usuarios

Facebook Block Delete

El grupo de seguridad digital Imperva descubrió hace casi un año un bug en Facebook Messenger que permitiría a cualquier atacante averiguar con quién ha estado hablando un usuario. El grupo de seguridad avisó a Facebook de esta vulnerabilidad en noviembre, mes en el que el bug fue parcheado y resuelto.

Un bug activo durante el año pasado pudo permitir a piratas informáticos saber con quién hablaban los usuarios de Messenger

Los atacantes, mientras el bug estaba sin resolver, podían atacar el navegador web de los usuarios para ver con quién se mantiene correspondencia a través del chat de Facebook. Los investigadores de Imperva han confirmado que este bug en concreto solo permitía saber esta información y ningún otro dato. 

Los usuarios vulnerables hubiesen sido aquellos que visitasen un sitio web cargado de malware mientras estuviesen identificados en Facebook. La vulnerabilidad se encontraba en un elemento HTML llamado iframe, que Facebook intentó arreglar mediante aleatorización.

Imperva indicó a la red social que aún así, un atacante podría diseñar un algoritmo que permitiría que los contactos de los usuarios continuasen visibles, por lo que Facebook decidió eliminar los iframes de Messenger por completo.

Facebook agradeció a la empresa su colaboración con el programa de caza de bugs y añadió que el problema estaba en cómo los navegadores web manejan ciertos contenidos y no era un problema específico de Messenger. 

De hecho, Imperva informó que estos elementos pertenecientes a los navegadores siguen siendo un problema del que solo grandes empresas como Facebook y Google están al tanto, por lo que gran parte de la industria sigue expuesta. Aunque no se trata de un tipo de ataque muy común, podría empezar a ganar popularidad a lo largo de 2019.

La información de esta brecha de seguridad aparece dos días después de las declaraciones del CEO de Facebook, Marck Zuckerberg, sobre un nuevo foco en la privacidad de todos los productos de la compañía.

Juan Carlos Rubio

Periodista. Especializado en tecnología, economía y gastronomía. Videojuegos y política internacional.

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Información sobre protección de datos

  • TreceBits te informa que los datos de carácter personal que nos proporciones rellenando el presente formulario serán tratados por Manuel Moreno Molina (TreceBits) como responsable de esta web.
  • La finalidad de la recogida y tratamiento de los datos personales que te solicitamos es para gestionar los comentarios que realizas en este blog.
  • Legitimación: Consentimiento del interesado.
  • Como usuario e interesado te informamos que los datos que nos facilitas estarán ubicados en los servidores de HOST EUROPE IBERIA S.L.U. (proveedor de hosting de TreceBits. HOST EUROPE IBERIA S.L.U. está ubicado en UE, en España un país cuyo nivel de protección son adecuados según la Comisión de la UE. Ver política de privacidad de HOST EUROPE IBERIA S.L.U.
  • Podrás ejercer tus derechos de acceso, rectificación, limitación y suprimir los datos en info@trecebits.comasí como el derecho a presentar una reclamación ante una autoridad de control.
  • Puedes consultar la información adicional y detallada sobre Protección de Datos en nuestra política de privacidad.