Una nuova falla di sicurezza trovata in Facebook Messenger è stata scoperta dalla società di sicurezza Check Point Software Technologies. Questa vulnerabilità poteva essere sfruttata da malintenzionati per modificare i messaggi in una chat di Facebook dopo essere stati inviati. Facebook ha gia’ lavorato per risolverla.
L’exploit, soprannominato MaliciousChat, spiegato nel dettaglio nel blog di Check Point, consiste nel trovare l’unico identificatore di un messaggio, il "message_id", quindi alterare il contenuto il messaggio per poi inviarlo di nuovo a Facebook, che accetta il nuovo contenuto come autentico, senza avvisare il destinatario del cambiamento.
In un pratico esempio, un utente poteva inviare un collegamento innocuo in una chat di Facebook ad un amico, magari ad un banale video su Youtube, ma un malintenzionato poteva sfruttare la falla per modificare il link per rimandare l’utente ad una pagina web da cui forzare il download e l’installazione di malware, andando così ad infettare il sistema. Oppure, il bug MaliciousChat avrebbe potuto essere utilizzato per cambiare la cronologia dei messaggi e fingere di aver raggiunto un accordo falso con la vittima, o anche solo per cambiarne i termini (magari due amici che si accordavano per vendere l’uno l’auto all’altro ad una certa cifra, questa poteva essere cambiata).
"Sfruttando questa vulnerabilità, i criminali informatici potrebbero cambiare una intera conversazione di chat senza che la vittima se ne renda conto (…) l’hacker potrebbe implementare tecniche automatiche per superare continuamente le misure di sicurezza della chat mediante alterazioni a lungo termine", Oded Vanunu, responsabile dei prodotti di Check Point, ha detto in un comunicato.
Secondo Check Point, la vulnerabilità è stata scoperta all’inizio di questo mese, ed è stata segnalata a Facebook che si è subito attivata per risolvere il problema.
Facebook ha spiegato successivamente che il bug ha riguardato solo l’applicazione Messenger su Android.
Facebook ha voluto precisare che il bug non poteva essere utilizzato per infettare direttamente il sistema di un utente con malware, grazie ai filtri anti-spam e anti-virus della società: "Poichè i nuovi contenuti vengono analizzati dai nostri filtri anti-malware e anti-spam, questo bug non ha introdotto la possibilità di inviare contenuti dannosi in quanto sarebbero stati bloccati nel messaggio originale", ha detto Facebook.
Si trattava di una falla molto grave, in quanto si potevano alterare i messaggi delle conversazioni andando a violare la privacy degli utenti e, al di là del fatto che potevano essere alterati i link per forzare l’installazione di malware, ricordiamo che i messaggi di Messenger sono in alcuni casi ammissibili in tribunale: nei casi piu’ remoti qualcuno avrebbe potuto modificare i messaggi in Messenger di una persona per accusarla di un reato in realtà non commesso.
Adesso gli utenti di Messenger possono stare tranquilli: Facebook ha risolto la vulnerabilità… almeno per il momento.