Facebook Messenger有漏洞，可竄改對話內容、刪除連結或檔案

安全公司CheckPoint揭露網頁版及Android版Facebook Messenger一項漏洞，可導致已傳送的訊息、相片、檔案或連結遭到修改或移除。臉書（Facebook）已經在上個月修補漏洞。
 
這項漏洞是出現在Facebook.com的Messenger功能，以及Android版Messenger App上的設定問題。在iOS用戶端中，一旦系統察覺有重複訊息，就會優先顯示最初的內容於對話雙方裝置上。然而Android版本的組態問題，導致系統會顯示最新的Messenger訊息，使發文方可以修改內容。
 
CheckPoint產品漏洞研究部門主管Oded Vanunu指出，藉由這項漏洞，不肖人士可以在使用者不知情下變更一整個對話串；藉由竄改對話紀錄，不但可能造成一般的誤會，駭客還可以冒稱已經和用戶達成協議、誣陷他人、湮滅犯罪證據。更厲害的是網路罪犯可透過自動化機制，不斷更新包含最新C&C伺服器位址的連結，躲過安全防堵機制，達到長期散佈勒贖軟體的目的。
 
Facebook證實了這個問題，同時在接獲CheckPoint通報後已經於5月加以修補。
 
但Facebook表示這項漏洞的風險並不大。首先，發話方僅能修改自己的訊息，無法修改別人的對話。此外也不會影響到其他平台，像是Messenger.com上的對話紀錄，而且Android版Messenger從伺服器端重新載入訊息內容時，也會矯正被修改過的內容。
 
Facebook並強調，發話者即使加入了惡意內容，也會被該網站的反惡意程式及垃圾郵件過濾功能偵測及封鎖，而不會影響到收訊方。
 
Facebook是透過抓漏獎勵方案獲得CheckPoint的通報。該公司年初表示，自2011年發起抓漏獎勵方案後，四年來已經發出430萬美元抓蟲獎金。