幾次的隱私漏洞之後,臉書的資安保密能力也被許多人以及單位用放大鏡加強檢視。前陣子,來自 Imperva 的資安專家 Ron Masas,就透過 CSFL(cross-site frame leakage)漏洞,發現了可以透過簡單頁面就查出 Facebook 使用者喜好狀態(有沒有點讚)的檢查功能。現在,他們採用同樣的方式居然發現 Facebook 即時通也爆漏洞 ,可以透過 iFrame 框架元件的比對,進一步查出使用者是否最近有與他人聊天過。
▲圖片來源:CNBC
Facebook 即時通也爆漏洞 :你跟誰聊天過都能被查出
雖說「有沒有跟誰聊天過」似乎只是小事,不過,若是被有心人利用,那可就難說了。根據 Imperva 部落格所貼出的資訊,透過破解程序他們將可分析所有臉書聯絡人的聊天狀態,基本上可以判斷出兩個聯絡人最近是否有透過 Facebook Messenger 聊過天的狀態(驚)。
▲圖片來源:Android Police
自然,這種非包含聊天內容或是歷史的資訊,似乎隱私敏感程度並沒有那麼強烈。只是這樣的漏洞還是很難保證會否被有心人士所利用。是說,Facebook 也在被發現漏洞之後,選擇乾脆直接關閉所有 iFrame,也因此完全解決了這部分的問題,不過可能有這樣漏洞的公司其實也不只有臉書而已。還是要說,正在風頭上的幾間大網路服務公司包括 Facebook 以及 Google,真的應該要好好檢視一下旗下的服務是否還有類似的狀況,如果不積極給予用戶安全感,真的會讓人不太敢使用服務呢(雖然,都免費啦…)。
