2. radostinalassa
3. zahariada
4. mt46
5. varg1
6. leonleonovpom2
7. wonder
8. sparotok
9. kvg55
10. planinitenabulgaria
11. rosiela
12. bven
13. apollon
14. hadjito
2. geraltofrivia
3. radostinalassa
4. lamb
5. hadjito
6. simonata
7. metaloobrabotka
8. djani
9. iw69
10. rosiela
Прочетен: 381 Коментари: 0 Гласове:
Последна промяна: 22.01.2017 08:46
Месинджърът е уязвим на атаки от типа човек по средата – man-in-the-middle (MITM).
Потребителите на Facebook Messenger, предпочитащи използването на аудиосъобщения вместо текст, сериозно рискуват да станат жертви на MITM атаки. Уеб-порталът The Hacker News съобщи, че египетският специалист по информационна сигурност Мохамед А. Басет (Mohamed A. Baset) е разкрил сериозна уязвимост във Facebook Messenger, която дава възможност за получаване на аудиофайловете с гласовите съобщения от сървърите на Facebook.
Идеята е следната: всяко гласово съобщение в чата се качва в CDN сървър (https:// z-1-cdn.fbsbx.com/…) на Facebook, а оттам с HTTPS протокол се изпраща както на изпращача, така и на получателя. Намиращият се в същата мрежа хакер, с помощта на инструмента SSLStrip може да осъществи MITM атака и да получи абсолютните линкове (заедно с вградения в URL секретен токен за автентификация) към аудиофайловете на кореспондентите. След това хакерът може да промени HTTPS на HTTP и да получи файловете без удостоверяване.
Атаката е възможна, понеже CDN сървърът не използва HSTS – механизмът, активиращ форсирана защитена връзка чрез HTTPS протокола. Не се използва и правилното удостоверяване, а това дава възможност на трети лица, освен двамата кореспонденти, да получават аудиосъобщенията.
Мохамед Басет е уведомил Facebook за тази уязвимост, но социалната мрежа не бърза да оправи този бъг, който позволява твърде лесното подслушване на Facebook Messenger.