2. varg1
3. radostinalassa
4. mt46
5. leonleonovpom2
6. wonder
7. kvg55
8. planinitenabulgaria
9. hadjito
10. sparotok
11. zaw12929
12. getmans1
13. bosia
14. rosiela
2. katan
3. wonder
4. leonleonovpom2
5. mt46
6. bojil
7. vidima
8. dobrota
9. ambroziia
10. donkatoneva
2. vesonai
3. radostinalassa
4. lamb
5. hadjito
6. samvoin
7. manoelia
8. mimogarcia
9. bateico
10. iw69
Прочетен: 456 Коментари: 0 Гласове:
Последна промяна: 22.01.2017 08:46
Месинджърът е уязвим на атаки от типа човек по средата – man-in-the-middle (MITM).
Потребителите на Facebook Messenger, предпочитащи използването на аудиосъобщения вместо текст, сериозно рискуват да станат жертви на MITM атаки. Уеб-порталът The Hacker News съобщи, че египетският специалист по информационна сигурност Мохамед А. Басет (Mohamed A. Baset) е разкрил сериозна уязвимост във Facebook Messenger, която дава възможност за получаване на аудиофайловете с гласовите съобщения от сървърите на Facebook.
Идеята е следната: всяко гласово съобщение в чата се качва в CDN сървър (https:// z-1-cdn.fbsbx.com/…) на Facebook, а оттам с HTTPS протокол се изпраща както на изпращача, така и на получателя. Намиращият се в същата мрежа хакер, с помощта на инструмента SSLStrip може да осъществи MITM атака и да получи абсолютните линкове (заедно с вградения в URL секретен токен за автентификация) към аудиофайловете на кореспондентите. След това хакерът може да промени HTTPS на HTTP и да получи файловете без удостоверяване.
Атаката е възможна, понеже CDN сървърът не използва HSTS – механизмът, активиращ форсирана защитена връзка чрез HTTPS протокола. Не се използва и правилното удостоверяване, а това дава възможност на трети лица, освен двамата кореспонденти, да получават аудиосъобщенията.
Мохамед Басет е уведомил Facebook за тази уязвимост, но социалната мрежа не бърза да оправи този бъг, който позволява твърде лесното подслушване на Facebook Messenger.