חוקרים ישראלים חשפו פירצת אבטחה במסנג'ר של פייסבוק

חוקרים ישראלים מחברת אבטחת המידע אימפרבה (Imperva) חשפו פירצת אבטחה במסנג'ר של פייסבוק שאיפשרה לתוקפים פוטנציאלים לעקוב אחר הפעילות שלכם ועם מי שוחחתם

יוסי לוי | 10.03.2019

פירצת אבטחה במסנג'ר | צילום: 13 אונליין

רק שעות אחרי שמארק צוקרברג הכריז כי עתיד הרשת החברתית טמון בהתמקדות באבטחת פרטיות המשתמשים, הסתבר כי ההווה כנראה פחות בהיר עבור משתמשי פייסבוק. חוקר ישראלי מחברת אבטחת המידע אימפרבה (Imperva) פירסם בסוף השבוע האחרון פוסט בבלוג החברה ובו הוא חושף את דבר קיומה של פירצת אבטחה במסנג'ר של פייסבוק.

לפי החוקר רון מסס, הרי שהפירצה מצוייה באלמנט ה - iframe, אותו אלמנט המאפשר הצגת דף אינטרנט במעיין חלון פנימי בתוך העמוד . הפירצה מאפשרת למעשה לתוקף לדעת אם הקורבן מחובר כרגע למסנג'ר ובנוסף - לדעת עם מי הוא משוחח, כך בזמן שפייסבוק חוגגת את שיחרור אופציית ה - Dark Mode לאפליקציית המסנג'ר שלה, מסתבר כי נראה וזה לא היה הדבר האפל היחיד בפלטפורמה הזו

אז איך בעצם ההאקר מקבל גישה למידע הזה? ובכן פירצת האבטחה שמסס חשף מקורה בדרך ובה פייסבוק עושה שימוש ברכיב ה - iframe בדפדפנים. התוקף מקבל את המידע אודות הקורבן לאחר ביצוע מה שמתואר כמתקפת ערוץ צדדי, מתקפה העושה שימוש, או יותר נכון מנצלת, מידע שמקורו ביישום הפיזי או השימוש של המערכת/הפלטפורמה עצמה. במקרה הזה מדובר בעצם במעיין הקלטה ארוכת טווח של המשתמש המאפשרת לנתח את דפוס הפעילות שלו במסנג'ר. יש לציין שהדבר יכול להתבצע רק לאחר שהתוקף שלח קישור זדוני לקורבן, וזה הקליק על אלמנט כלשהו בעמוד המתחזה ששלח התוקף. ברגע שהקורבן הקליק, סרטון כלשהוא אמור להפתח בחלון חדש, בזמן שהתוקף מקבל לידיו גישה למידע הטמון במסנג'ר.

תרשים הזרימה של התקיפה שתיאר מסס בפוסט שפירסם | צילום: 13 אונליין

מסס מתאר בפוסט שלו כי פנה לפייסבוק עם הפירצה שחשף ושם ניסו תחילה להתמודד עם הבעיה על ידי ביצועי שינויים רנדומלים ברכיב ה - iframe. לאחר שמסס הצליח לבצע את המתקפה גם לאחר השינוי הזה, הוחלט שם לבטל לחלוטין את השימוש ברכיב ה - iframe בדפדפנים.

בתגובה לידיעה דומה שעלתה בדיילי מייל הבריטי פייסבוק טענה כי "הבאג שהתגלה קשור לדפדנים ולדרך שבה אלו מנהלים מידע המוטמע בתוך כל עמודי אינטרנט. הבאג יכול להשפיע על כל אתר, לא רק על המסנג'ר של פייסבוק". הבאג המדובר תוקן כבר בשנה שעברה, וכדי להבטיח את פרטיות המשתמשים המלצנו ליצרני הדפדפנים למנוע הישנות מקרים שכאלו".

ובכן למרות הדרך שבה מתארים את המקרה הזה בפייסבוק הרי שברור לחלוטין כי הארוע ארע בסוף השנה שעברה, זאת כאמור עקב הקוד האתי הנדרש מחושפי פירצות אבטחה במצבים שכאלו, ולפיו היה על מסס להמתין לפחות 90 יום טרם פירסום הממצאים שלו (כדי לאפשר לחברה את הזמן הדרוש להגן על משתמשיה). יתכן ופרק הזמן הזה איפשר למכונת היח"צ של פייסבוק להתארגן מבעוד מועד עם שלל ידיעות יחצניות דוגמת הפוסט של צוקרברג אודות חשיבות הפרטיות או ההכרזה על אופציית ה - Dark Mode במסנג'ר.