根據有關人士透露的信息,Facebook的安全技術人員已經成功修復了Facebook即時聊天應用程序中的嚴重漏洞。這個漏洞同時存在于Facebook的Web端和移動端程序之中,攻擊者可以利用這個漏洞來修改或刪除任意用戶的聊天信息。

CheckPoint公司的安全研究人員Roman Zaikin在本月月初發現了這個問題,并及時將有關這一漏洞的信息報告給了Facebook公司。Facebook在了解到了這一漏洞之后,便立刻向用戶推送了更新補丁,并在這一漏洞被攻擊者廣泛利用之前成功將其修復了。

根據Zaikin的描述,通過這一毫不起眼的漏洞,攻擊者只需要知道聊天信息的message_id值,他們就可以修改任意一條聊天信息。Facebook的聊天軟件依賴于中繼消息傳輸機制, 用戶之間的聊天信息需要通過Facebook的網絡服務器進行轉發和傳遞。系統會為每一條信息生成一個隨機的message_id值,而且每一條消息所對應的message_id值都是唯一的。

Zaikin發現,他只需要查詢以下URL地址,他就能夠找出每一條消息所對應的message_id值。

URL:facebook.com/ajax/mercury/thread_info.php

利用這個漏洞,攻擊者可以記錄并存儲消息請求。攻擊者可以利用一臺代理服務器,或者利用惡意軟件感染目標用戶的設備,并以此來記錄下用戶的消息請求,然后將這些聊天信息轉發到由攻擊者所控制的網絡服務器之中。

據了解,Zaikin還針對這一漏洞開發出了一款能夠進行自動攻擊的工具,我們現在假設攻擊者已經獲取到了即時聊天軟件的登錄ID,在這一工具的幫助下,攻擊者就可以偽裝成目標ID的用戶,并使用這一ID來向其他的用戶發送信息。不僅如此,攻擊者甚至還可以修改這一用戶所發出的原始聊天消息。

由于移動端的Facebook聊天軟件允許用戶刪除聊天信息,所以同樣的自動攻擊機制也可以用來刪除軟件中的聊天信息。

這種類型的攻擊是非常危險的,它可能會帶來非常嚴重的后果。

這種類型的攻擊之所以如此危險,是因為攻擊者可以不斷利用新的惡意URL來更新他們的偽造信息,這樣一來,垃圾郵件發送者就可以利用這種方法來不斷地像用戶發送新的垃圾消息了。

除此之外,由于法律規定即時聊天軟件的聊天記錄可以作為合法的呈堂證供,所以攻擊者甚至還可以修改數據庫中的聊天記錄,并以此來陷害他人,或者讓犯罪分子逃脫法律的制裁。

Oded Vanunu是CheckPoint公司產品漏洞研究部門的主管,他表示:“通過利用這個漏洞,網絡犯罪分子可以修改所有的聊天信息,而且用戶對此根本無法察覺。更糟糕的是,攻擊者甚至還可以采用自動化技術來繞過軟件的安全防護策略,并不斷修改用戶的聊天信息,這是一件非常可怕的事情。Facebook能夠如此快速地處理這一問題,并將用戶的安全性放在了第一的位置,我們應該給Facebook致以熱烈的掌聲。”

Facebook公司的官方發言人在接受Softpedia采訪時表示,這個漏洞只允許攻擊者修改目標用戶手機中存儲的消息,這只是暫時性的,當應用程序從服務器讀取數據時,應用程序之中的信息將會被更新。服務器會將每位用戶的原始聊天信息進行加密存儲,所以我們是能夠給用戶提供可信的消息源,并保證這些信息的正確性。

除此之外,用戶是無法在任何消息內容中注入例如惡意鏈接和惡意軟件等信息的。因為Facebook聊天軟件的所有信息都需要流經反惡意軟件過濾器和反垃圾郵件過濾器,所以這些惡意內容是無法進行發送的。