几次的隐私漏洞之后,脸书的资安保密能力也被许多人以及单位用放大镜加强检视。前阵子,来自 Imperva 的资安专家 Ron Masas,就透过 CSFL(cross-site frame leakage)漏洞,发现了可以透过简单页面就查出 Facebook 使用者喜好状态(有没有点赞)的检查功能。现在,他们采用同样的方式居然发现 Facebook 即时通也爆漏洞 ,可以透过 iFrame 框架元件的比对,进一步查出使用者是否最近有与他人聊天过。
▲图片来源:CNBC
Facebook 即时通也爆漏洞 :你跟谁聊天过都能被查出
虽说“有没有跟谁聊天过”似乎只是小事,不过,若是被有心人利用,那可就难说了。根据 Imperva 部落格所贴出的资讯,透过破解程序他们将可分析所有脸书联络人的聊天状态,基本上可以判断出两个联络人最近是否有透过 Facebook Messenger 聊过天的状态(惊)。
▲图片来源:Android Police
自然,这种非包含聊天内容或是历史的资讯,似乎隐私敏感程度并没有那么强烈。只是这样的漏洞还是很难保证会否被有心人士所利用。是说,Facebook 也在被发现漏洞之后,选择干脆直接关闭所有 iFrame,也因此完全解决了这部分的问题,不过可能有这样漏洞的公司其实也不只有脸书而已。还是要说,正在风头上的几间大网络服务公司包括 Facebook 以及 Google,真的应该要好好检视一下旗下的服务是否还有类似的状况,如果不积极给予用户安全感,真的会让人不太敢使用服务呢(虽然,都免费啦…)。
引用来源
延伸阅读:
FB Messenger 夜间模式 启用小秘诀,找个朋友发送指定 Emoji 就能开启这功能
全片幅随身机 Leica Q2 正式推出,建议售价新台币 17.8 万
