1. Администрация SafeZone приветствует вас на нашем форуме!
    Если вы больше не желаете видеть рекламу при просмотре тем и сообщений - то достаточно просто зарегистрироваться. Для зарегистрированных пользователей реклама не отображается.
    Если у вас возникли проблемы с регистрацией на форуме - то вы можете сообщить об этом с помощью этой формы без авторизации,администрация форума обязательно отреагирует на вашу проблему.
    Скрыть объявление

Уязвимость в Facebook Messenger позволяет похищать голосовые сообщения

Тема в разделе "Новости информационной безопасности", создана пользователем Severnyj, 18 янв 2017.

  1. Severnyj

    Severnyj Команда форума Супер-Модератор Ассоциация VN/VIP

    Сообщения:
    8.492
    Симпатии:
    9.229
    Уязвимость в Facebook Messenger позволяет похищать голосовые сообщения
    [​IMG]

    Пользователи мессенджера могут стать жертвами атаки «человек посередине».

    Пользователи Facebook Messenger, предпочитающие аудиосообщения текстовым, рискуют стать жертвами атаки «человек посередине». Как сообщает издание The Hacker News, египетский исследователь Мохамед А. Басет (Mohamed A. Baset) обнаружил в мессенджере уязвимость, позволяющую похищать с сервера Facebook пересылаемые аудиофайлы и прослушивать голосовые сообщения пользователей.

    При каждой записи голосовое сообщение сначала загружается на сервер CDN (https:// z-1-cdn.fbsbx.com/...), а уже оттуда по протоколу HTTPS передается как отправителю, так и получателю. Находящийся в той же сети злоумышленник может с помощью инструмента SSL Strip осуществить атаку «человек посередине» и получить абсолютные ссылки (в том числе встроенный в URL секретный токен для аутентификации) на все аудиофайлы, которыми обмениваются отправитель и получатель. Затем атакующий может изменить HTTPS на HTTP и загрузить файлы без аутентификации.

    Атака возможна, поскольку сервер CDN не использует HSTS – механизм, активирующий форсированное защищенное соединение через протокол HTTPS. Кроме того, компания не позаботилась об обеспечении надлежащего процесса аутентификации. Пересылаемые между двумя пользователями файлы должны быть доступны только им двоим, даже если у кого-то третьего есть абсолютная ссылка на данные файлы с секретным токеном.

    Исследователь уведомил Facebook об уязвимости, однако компания не спешит исправлять ее. Согласно полученному экспертом ответу, в настоящее время Facebook занимается развертыванием HSTS на своих поддоменах facebook.com.

    Уязвимость в Facebook Messenger позволяет похищать голосовые сообщения
     
    orderman нравится это.
Загрузка...
Похожие темы - Уязвимость Facebook Messenger
  1. Alien
    Ответов:
    1
    Просмотров:
    85
  2. Candellmans
    Ответов:
    0
    Просмотров:
    69
  3. Candellmans
    Ответов:
    0
    Просмотров:
    411
  4. Severnyj
    Ответов:
    0
    Просмотров:
    541
  5. Severnyj
    Ответов:
    0
    Просмотров:
    497
  6. Mila
    Ответов:
    0
    Просмотров:
    1.225

Поделиться этой страницей