简单漏洞允许黑客阅读你所有的私人Facebook Messenger聊天记录

BugSec和Cynet的安全研究员Ysrael Gurt报告了一次针对Facebook Messenger的跨源绕过攻击，该攻击允许攻击者访问你在Facebook聊天室发送的私人消息、照片以及附件。
要利用此漏洞，攻击者只需诱使受害者访问恶意网站；这就是全部。

一旦点击，攻击者就可以访问受害者的所有私人对话，无论是来自Facebook的移动应用程序还是网络浏览器，因为该漏洞会影响网络聊天和移动应用程序。

被称为“原创的“该漏洞实际上在于，Facebook聊天是通过位于{number}-edge-chat.Facebook.com的服务器进行管理的，该服务器与Facebook的实际域（www.Facebook.com）是分开的。

“JavaScript和服务器之间的通信是通过XML HTTP请求（XHR）完成的。为了在JavaScript中访问从5-edge-chat.facebook.com到达的数据，facebook必须添加带有调用者来源的“access Control Allow Origin”标题，以及带有“true”的“access Control Allow Credentials”标题古特解释说：“值，这样即使发送cookie，数据也可以访问”。

这个问题的根源是Facebook聊天服务器域上配置错误的跨来源头实现，这使得攻击者能够绕过来源检查，从外部网站访问Facebook消息。
Gurt还发布了一个关于Originall漏洞的概念验证视频演示，展示了跨源绕过攻击的情况。

然而，Facebook Messenger的端到端加密聊天功能Secret Conversations不受此漏洞的影响，因为它只能使用其移动应用启动或启动。

BugSec的首席技术官斯塔斯·沃尔福斯（Stas Volfus）说：“这个安全漏洞意味着每月有10亿活跃的Messenger用户的消息容易受到攻击者的攻击”。

“这是一个极其严重的问题，不仅因为受影响的用户数量很大，而且因为即使受害者使用另一台计算机或手机发送消息，他们仍然完全容易受到攻击”。

研究人员通过Facebook的漏洞赏金计划披露了Facebook的严重漏洞。Facebook安全团队承认了这个问题，并修补了易受攻击的组件。
你可以在Cynet周二发布的博客上阅读该漏洞的全部细节。