首页 - 淮南 -时评 -社会 -民生 -报料 -网视 -公益 -房产 -车讯 -导购 -教育 -快讯 -培训 -国内 -国际 -文娱 -小记者
您所在的位置:中国淮南网 > 公益
Facebook修复了允许攻击者控制任意消息的漏洞
2019/11/20 7:51:21  来源:  

根据有关人士透露的信息,Facebook的安全技术人员已经成功修复了Facebook即时聊天应用程序中的严重漏洞。这个漏洞同时存在于Facebook的Web端和移动端程序之中,攻击者可以利用这个漏洞来修改或删除任意用户的聊天信息。

CheckPoint公司的安全研究人员Roman Zaikin在本月月初发现了这个问题,并及时将有关这一漏洞的信息报告给了Facebook公司。Facebook在了解到了这一漏洞之后,便立刻向用户推送了更新补丁,并在这一漏洞被攻击者广泛利用之前成功将其修复了。

根据Zaikin的描述,通过这一毫不起眼的漏洞,攻击者只需要知道聊天信息的message_id值,他们就可以修改任意一条聊天信息。Facebook的聊天软件依赖于中继消息传输机制, 用户之间的聊天信息需要通过Facebook的网络服务器进行转发和传递。系统会为每一条信息生成一个随机的message_id值,而且每一条消息所对应的message_id值都是唯一的。

Zaikin发现,他只需要查询以下URL地址,他就能够找出每一条消息所对应的message_id值。

URL:facebook.com/ajax/mercury/thread_info.php

利用这个漏洞,攻击者可以记录并存储消息请求。攻击者可以利用一台代理服务器,或者利用恶意软件感染目标用户的设备,并以此来记录下用户的消息请求,然后将这些聊天信息转发到由攻击者所控制的网络服务器之中。

据了解,Zaikin还针对这一漏洞开发出了一款能够进行自动攻击的工具,我们现在假设攻击者已经获取到了即时聊天软件的登录ID,在这一工具的帮助下,攻击者就可以伪装成目标ID的用户,并使用这一ID来向其他的用户发送信息。不仅如此,攻击者甚至还可以修改这一用户所发出的原始聊天消息。

由于移动端的Facebook聊天软件允许用户删除聊天信息,所以同样的自动攻击机制也可以用来删除软件中的聊天信息。

这种类型的攻击是非常危险的,它可能会带来非常严重的后果。

这种类型的攻击之所以如此危险,是因为攻击者可以不断利用新的恶意URL来更新他们的伪造信息,这样一来,垃圾邮件发送者就可以利用这种方法来不断地像用户发送新的垃圾消息了。

除此之外,由于法律规定即时聊天软件的聊天记录可以作为合法的呈堂证供,所以攻击者甚至还可以修改数据库中的聊天记录,并以此来陷害他人,或者让犯罪分子逃脱法律的制裁。

Oded Vanunu是CheckPoint公司产品漏洞研究部门的主管,他表示:“通过利用这个漏洞,网络犯罪分子可以修改所有的聊天信息,而且用户对此根本无法察觉。更糟糕的是,攻击者甚至还可以采用自动化技术来绕过软件的安全防护策略,并不断修改用户的聊天信息,这是一件非常可怕的事情。Facebook能够如此快速地处理这一问题,并将用户的安全性放在了第一的位置,我们应该给Facebook致以热烈的掌声。”

Facebook公司的官方发言人在接受Softpedia采访时表示,这个漏洞只允许攻击者修改目标用户手机中存储的消息,这只是暂时性的,当应用程序从服务器读取数据时,应用程序之中的信息将会被更新。服务器会将每位用户的原始聊天信息进行加密存储,所以我们是能够给用户提供可信的消息源,并保证这些信息的正确性。

除此之外,用户是无法在任何消息内容中注入例如恶意链接和恶意软件等信息的。因为Facebook聊天软件的所有信息都需要流经反恶意软件过滤器和反垃圾邮件过滤器,所以这些恶意内容是无法进行发送的。


相关阅读:
阿联酋房产 https://www.hixing.com/fang/arabicemirati/
  精彩图片
河南淅川一电业局领导路遇查车批辅警 上级进驻调查
河南淅川一电业局领导路遇查车批辅警 上级进驻调查
发改委:将进一步出台激发民间投资政策
发改委:将进一步出台激发民间投资政策
  热点专题
·Facebook修复了允许攻击者控制任意消息的漏洞
·主题曲女王Freestyle 《鲛珠传》PK《三国志2017》
·波兰警方破获华沙地铁恐吓电话案
·美国旧金山一快递公司发生枪击事件 警方称4人丧生
·《爱情回来了》热播 钟楚曦乔任梁亲密戏成看点
·儿子曾被邀拍戏 霍思燕拒绝:当时他还不会说话
·为孩子营造一个如水般纯净的家,英国首相特里莎·梅晚间主持内阁紧急会议
·云南高铁迎首个暑运 “高铁+旅游”受游客青睐
·随着一声清脆的撞击,挣脱绑架困境的廖碧儿成功逃出
·人造皮肤,离我们有多远
  热门新闻
·Facebook修复了允许攻击者控制任意消息的漏洞
·百度手机浏览器AI Inside 让移动信息随手可得
·主题曲女王Freestyle 《鲛珠传》PK《三国志2017》
·2016各地高考分数线陆续公布 河北分数线创10年新低
·清明小长假将至!快收好这份高速避堵指南
·成都推出“治霾十条” 力争2017年实现230个优良天
·日本自民党欲在参院选上拥立"超美"候选人
·好的间谍是美国抓不到的,这辆车不仅车牌和发票上的信息不对应
·福建宁化:贫困户“变身”致富带头人
·草蜢上演“不老传说” 现场表现大男孩个性
Copyright zhouguanglaid.com.cn All Rights Reserved.
本网站所刊登的各种新闻﹑信息和各种专题专栏资料,均为中国淮南网版权所有,未经协议授权,禁止下载使用。
台广证002号  浙ICP备09050798  浙新办(2002)11号