圖片來源: 

臉書

安全公司CheckPoint揭露網頁版及Android版Facebook Messenger一項漏洞,可導致已傳送的訊息、相片、檔案或連結遭到修改或移除。臉書(Facebook)已經在上個月修補漏洞。
 
這項漏洞是出現在Facebook.com的Messenger功能,以及Android版Messenger App上的設定問題。在iOS用戶端中,一旦系統察覺有重複訊息,就會優先顯示最初的內容於對話雙方裝置上。然而Android版本的組態問題,導致系統會顯示最新的Messenger訊息,使發文方可以修改內容。
 
CheckPoint產品漏洞研究部門主管Oded Vanunu指出,藉由這項漏洞,不肖人士可以在使用者不知情下變更一整個對話串;藉由竄改對話紀錄,不但可能造成一般的誤會,駭客還可以冒稱已經和用戶達成協議、誣陷他人、湮滅犯罪證據。更厲害的是網路罪犯可透過自動化機制,不斷更新包含最新C&C伺服器位址的連結,躲過安全防堵機制,達到長期散佈勒贖軟體的目的。
 
Facebook證實了這個問題,同時在接獲CheckPoint通報後已經於5月加以修補。
 
但Facebook表示這項漏洞的風險並不大。首先,發話方僅能修改自己的訊息,無法修改別人的對話。此外也不會影響到其他平台,像是Messenger.com上的對話紀錄,而且Android版Messenger從伺服器端重新載入訊息內容時,也會矯正被修改過的內容。
 
Facebook並強調,發話者即使加入了惡意內容,也會被該網站的反惡意程式及垃圾郵件過濾功能偵測及封鎖,而不會影響到收訊方。
 
Facebook是透過抓漏獎勵方案獲得CheckPoint的通報。該公司年初表示,自2011年發起抓漏獎勵方案後,四年來已經發出430萬美元抓蟲獎金。

 


Advertisement

更多 iThome相關內容