Mark Zuckerberg anunciou, nesta semana, que o Facebook vai virar a chave em direção a mais privacidade. No entanto, pesquisadores revelaram a presença de um bug no aplicativo, que permite que sites saibam e exponham com quem você está conversando nos chats do Messenger. A vulnerabilidade foi causada por algumas propriedades Iframe e já foi corrigida com uma atualização.

Em novembro, a mesma equipe de especialistas havia relevado uma grave falha de segurança na rede social, que possibilitava a extração de dados dos perfis de usuários por endereços da web. Este novo ataque, porém, não é capaz de tão grandes feitos. Seu potencial se resume a indicar, simplesmente, se um usuário já se comunicou com um contato ou não. Ele não consegue resgatar conversas ou puxar dados do histórico de mensagens.

Através de um post no seu blog, Ron Masas, pesquisador de segurança da Imperva, explica que esse ataque cibernético, chamada de ‘CSFL’, é capaz de determinar o estado de uma aplicação. Para isso, ele explora as propriedades de elementos do Iframe, código utilizado pelo Facebook para inserir conteúdos como vídeos de YouTube nas páginas. No entanto, o alcance do bug é limitado, assim como os danos causados por ele.

Apesar disso, Masas alertou o Facebook sobre o problema, e, dada sua conexão à falha anterior (mais séria), a rede social decidiu remover todos os Iframes da interface do Messenger por completo. “Os ataques de canal lateral em navegadores ainda são um assunto negligenciado”, escreve Masas no blog da Imperva. “Enquanto gigantes como o Facebook e o Google estão a par, a maioria da indústria está desinformada.”