มีรายงานโดยนาย Ysrael Gurt จากบริษัทความปลอดภัย BugSec และ Cynet กล่าวถึงช่องโหว่ใน Facebook Messenger ที่เปิดให้แฮ็กเกอร์สามารถแอบอ่านข้อความได้ทั้งหมด เพียงแค่ผู้ใช้เผลอเข้าเว็บไซต์ที่มีการฝังโค๊ดไว้เท่านั้น
ช่องโหว่ดังกล่าวถูกตั้งชื่อว่า Originull ซึ่งจะอาศัยข้อผิดพลาดจากการตั้งค่าเซิร์ฟเวอร์ของ Facebook เอง โดยจะมีผลกระทบทั้งการแชทบนหน้าเว็บ และการแชทผ่านแอพ Messenger
ระบบแชทของเฟซบุคนั้นจะทำงานอยู่บนเซิร์ฟเวอร์ <ตัวเลข>-edge-chat.facebook.com และทำการสื่อสารกับแอพและการแชทบนเฟซบุคผ่าน XML Http Request
โดยปกติการทำงานของเว็บไซต์ จะมีฟีเจอร์ที่เรียกว่า Cross-Origin Resource Sharing (CORS) ที่ใช้ในการกำหนดว่าจะยอมให้เรียกข้อมูลข้ามโดเมนกันได้หรือไม่ (*-edge-chat.facebook.com และ facebook.com นับเป็นคนละโดเมน) หากแต่เฟซบุคนั้นตั้งค่าผิดพลาดที่ไม่ได้กำหนดไว้ว่ายอมให้โดเมนใดเข้าถึงข้อมูลแชทได้บ้าง
ดังนั้นแล้วแฮ็กเกอร์จึงสามารถใช้ช่องโหว่นี้เพื่อล่วงเอาแชทของผู้ใช้ได้ โดยในตัวอย่าง ทีมวิจัยได้ทดลองฝั่งโค๊ดอันตรายเอาไว้ในโฆษณา ซึ่งโค๊ดจะทำทันทีที่ผู้ใช้เปิดเว็บไซต์ หลังจากนั้นแล้วเมื่อผู้ใช้แชทในเฟซบุค ข้อความและไฟล์แนบทั้งหมดก็สามารถถูกอ่านได้ทันทีโดยแฮ็กเกอร์
ทั้งนี้ฟีเจอร์ Secret Conversations ไม่ได้รับผลกระทบแต่อย่างใด
ที่มา – The Hacker News
