Facebook è sicura? Zuckerberg dovrà lavorare ancora sodo per realizzare l’obiettivo di una piattaforma “Privacy Focused”
Appena qualche ora dopo il lancio della strategia “Privacy Focused” di Facebook, Mark Zuckerberg ha dovuto fare i conti con un nuovo problema di sicurezza. I ricercatori di Imperva hanno infatti individuato una falla nel modulo iframe di Messenger che permetteva a terzi di scoprire gli interlocutori in chat di un certo utente, senza aver accesso alle conversazioni, d’accordo, ma comunque con una certa invasione della vita personale degli iscritti. L’exploit si sarebbe verificato tramite un sito web sotto forma di un attacco CSFL (Cross-Site Frame Leakage), un metodo che sfrutta le proprietà di origine incrociata degli iframe per verificare il loro stato, richiedendo al contempo un nuovo accesso da parte del profilo preso di mira.
Inizialmente Facebook ha cercato di aggirare il problema randomizzando gli elementi iframe, ma Imperva ha spiegato che un algoritmo sarebbe ancora in grado di rivelare le stesse informazioni. A quel punto, l’azienda ha rimosso gli iframe da Messenger completamente, almeno fino ad una prova successiva. Come ha confermato Facebook a The Verge: “Il problema deriva dal modo in cui i browser gestiscono contenuti incorporati nelle pagine web e non è specifico di Facebook”. Ed vero, come peraltro ci ha tenuto a sottolineare Imperva: “Gli attacchi da canale laterale basati su browser sono ancora un argomento trascurato. Mentre i grandi player come Facebook e Google si stanno attrezzando in materia, gran parte dell’industria è ancora inconsapevole e quindi a rischio”.
Negli ultimi anni, Facebook è stato messo sotto accusa per le violazioni della privacy e dei dati sensibili dei suoi iscritti. La notizia della vulnerabilità odierna arriva in un momento cruciale per il gruppo, visto che dietro l’angolo c’è l’intenzione di unire Messenger, WhatsApp e Instagram in un servizio peculiare che, tramite un solo back-end, permetta di gestire varie chat.
