Исследователи компании Check Point рассказали об обнаружении опасной уязвимости в мессенджере Facebook. Уязвимость позволяла изменять или удалять любые сообщения, фото, файлы или ссылки в мессенджере и онлайн-версии чата социальной сети.
Брешь нашел сотрудник Check Point Роман Заикин (Roman Zaikin). Эксплуатировать проблему было очень легко. Оказалось, что достаточно получить доступ к идентификатору сообщения — параметру «message_id», который присваивается каждому сообщению мессенджера. Заикин обнаружил, что узнать ID можно обратившись к URL facebook.com/ajax/mercury/thread_info.php. Узнав ID, злоумышленник мог изменить содержание сообщения и отправить подмену на сервер Facebook. Собеседник не заметит изменений, так как не получит никакого уведомления об изменении контента. Видеодемонстрацию атаки можно увидеть ниже.
«С этой уязвимостью киберпреступники способны изменять весь поток сообщений в чате без ведома пользователя. Более того, хакер может применять техники автоматизации, чтобы обходить решения защиты и вносить правки в чат в течение длительного времени», — объясняет Василий Дягилев, глава представительства CheckPoint Software Technologiesв России и СНГ.
Брешь позволяла атакующим подменить историю сообщений в рамках мошеннических кампаний. К примеру, хакер мог заявить, что достиг (ложной) договоренности с жертвой, или изменить условия этой договоренности. Также злоумышленники могли обманом заставить пользователя открыть вредоносную ссылку или файл. Исследователи отмечают, что уязвимость позволяла постоянно обновлять адрес командного сервера во вредоносной ссылке, тем самым обеспечивая распространение фишинговой атаки. Из-за этого решения по безопасности не могли обнаружить и заблокировать вредоносный контент.
Кроме того, изменение или сокрытие важной информации в чате Facebook могло иметь даже правовые последствия. Сообщения в чатах могут быть использованы в качестве доказательств в ходе судебных расследований, поэтому уязвимость давала злоумышленникам возможность скрыть улики преступления или даже ложно обвинить невиновного человека.
Разработчики Facebook уже устранили проблему, хотя сообщение в официальном блоге почему-то гласит, что уязвимость распространялась только на приложение для Android:
«Согласно результатами нашего собственного расследования, простая ошибка в конфигурации приложения Messenger для Android привела к возникновению данной малоопасной проблемы. Уязвимость уже исправлена».
