Dado Ruvic/Reuters Brecha no Messenger permitia ver com quem usuários conversavam

Pesquisadores da empresa de segurança Imperva detectaram uma brecha no Facebook que permitia hackers saber com quem os usuários conversavam no Messenger. A falha foi detectada, reportada e corrigida pela rede social em novembro de 2018 e divulgada somente agora.

A vulnerabilidade tinha origem na maneira como o Google Chrome exibe elementos de páginas da web. Por meio dela, hackers poderiam enviar um link malicioso pelo Messenger, que ao ser clicado daria acesso às atividades do usuário no Messenger. Além de ver com quem o usuário conversava, a brecha permitia o hacker ver quem fazia parte da lista de contatos da vítima - outros dados dos usuários não podiam ser acessados.

O ataque só poderia ser realizado na versão web do Messenger e não se aplica às versões para Android e iOS. Após detectar a falha, o Facebook tentou contornar o problema sem desativar os iframes, componente do Chrome usado para a exibição de conteúdo em HMTL e peça fundamental para a manobra hacker. A Imperva percebeu que mesmo assim era possível violar o Messenger. A rede social, então, corrigiu o problema, eliminando a necessidade de iframes no Messenger.

"Ataques laterais via Browser ainda são um assunto ignorado", escreveu a Imperva em seu relatório. "Enquanto grandes nomes como Facebook e Google estão correndo atrás, a maior parte da indústria não está ciente".

A Imperva não publicou quantas pessoas foram afetadas pela falha.

Já o Facebook disse: "Apreciamos a notificação do pesquisador para o nosso programa de detecção de falhas. Esse problema no relatório tem origem em como navegadores de web trabalham conteúdo embedado em páginas de web e não é específico do Facebook". O Google não comentou o assunto.