Ao usar este site, você concorda com a Política de Privacidade e os Isenção de parceria e publicidade.
Aceito
SempreUpdate SempreUpdate
  • Home
  • Notícias
  • Tutoriais
  • Android
  • Games
  • Contato
Buscar
  • Contact
  • Contact
  • Blog
  • Blog
  • Complaint
  • Complaint
  • Advertise
  • Advertise
© 2022 SempreUpdate - Todos os Direitos Reservados
LENDO: Descoberto um Hacking no Facebook Messenger
Compartilhe
Entrar
Notificações Veja mais
Últimas notícias
como-instalar-o-launcher-viper-no-linux
Como instalar o launcher Viper no Linux!
30/06/2022
google-deve-expandir-recurso-de-deteccao-de-acidente-de-carro-para-alem-dos-telefones-pixel
Google deve expandir recurso de detecção de acidente de carro para além dos telefones Pixel
30/06/2022
google-hangouts-sera-encerrado-e-os-usuarios-terao-que-migrar-para-o-chat
Google Hangouts será encerrado e os usuários terão que migrar para o Chat
30/06/2022
como-instalar-o-softphone-siptop-no-linux
Como instalar o softphone Siptop no Linux!
30/06/2022
gmail-deve-estrear-novo-visual-em-breve
Gmail deve estrear novo visual em breve
30/06/2022
Aa
SempreUpdate SempreUpdate
Aa
  • Home
  • Notícias
  • Tutoriais
  • Android
  • Games
  • Contato
Buscar
  • Home
  • Notícias
  • Tutoriais
  • Android
  • Games
  • Contato
Have an existing account? Entrar
Siga-nos
  • Contact
  • Contact
  • Blog
  • Blog
  • Complaint
  • Complaint
  • Advertise
  • Advertise
© 2022 SempreUpdate - Todos os Direitos Reservados
SempreUpdate > Blog > Linux > Descoberto um Hacking no Facebook Messenger
Linux

Descoberto um Hacking no Facebook Messenger

Emanuel Negromonte
Emanuel Negromonte 17/01/2017
Atualizado em 17/01/17 às 2:01 PM
Compartilhe
caprine-um-facebook-messenger-para-linux
COMPARTILHE
A maioria das pessoas odeia escrever mensagens longas enquanto conversa em aplicativos de mensagens. Mas graças ao recurso de gravação de voz fornecido pelo WhatsApp e Facebook Messenger, o que torna muito mais fácil para os usuários enviarem mensagens mais longas que geralmente incluem muito esforço de digitação.
Se você também tem o hábito de enviar uma gravação, em vez de digitar longas mensagens, para seus amigos no Facebook Messenger, você está suscetível a um simples ataque man-in-the-middle (MITM) que poderia vazar sua gravações.
O que mais preocupa é que o problema ainda não foi corrigido pelo gigante Facebook. O responsável pela descoberta foi o analista de segurança egípcio Mohamed A. Baset, que descobriu uma falha no recurso de gravação de áudio do Facebook Messenger que permitiria que qualquer ataque de man-in-the-middle capture seus arquivos de áudio do servidor do Facebook e escute suas mensagens de voz pessoais.
Facebook Messenger

Sempre que você grava um áudio para enviá-lo ao seu amigo, a gravação é carregada no servidor CDN do Facebook (ou seja, https://z-1-cdn.fbsbx.com/…), de onde ele serve o mesmo arquivo de áudio, por HTTPS, tanto para o remetente como para o receptor.
Agora, qualquer pessoa presente em sua rede, executando o ataque MITM com SSL Strip, pode extrair links absolutos (incluindo o token de autenticação secreta incorporado na URL) a todos os arquivos de áudio trocados entre o remetente e o receptor durante esse processo.

Em seguida, a pessoa realiza algo conhecido como downgrade de protocolo, modificando os links absolutos de HTTPS para HTTP, permitindo a transferência desses arquivos de áudio sem precisar de qualquer autenticação.
Isso ocorre porque o servidor CDN do Facebook não impõe uma política HTTP Strict Transport Security (HSTS) que force os navegadores a se comunicarem com servidores somente por meio de conexões HTTPS e ajuda os sites a se protegerem contra ataques de downgrade de protocolo.
Em segundo lugar, a falta de autenticação adequada – Se um arquivo foi compartilhado entre dois usuários do Facebook, ele não deve ser acessível por ninguém exceto eles, mesmo se alguém tenha a URL absoluta para seu arquivo, que também inclui um token secreto para acessar esse arquivo.
Como exemplo, Mohamed enviou uma gravação para um de seus amigos no Facebook Messenger e aqui está o link absoluto para o arquivo extraído usando o ataque MITM, que qualquer pessoa pode baixar do servidor do Facebook, até mesmo você, sem qualquer autenticação.

Você pode assistir a demonstração no vídeo abaixo, que mostra esse ataque em ação.
 
Mohamed relatou o problema para o Facebook, e a empresa reconheceu o problema, mas ainda não o corrigiu. O Facebook não ofereceu nenhuma recompensa ao pesquisador pela descoberta da vulnerabilidade, já que os ataques de downgrade não estão incluídos no seu programa de recompensas.

Fonte


Leia também

Bibliotecas Python com backdoor têm roubado chaves e segredos da AWS

Como Baixar do Facebook Imagens e Vídeos de Bom Dia

Pasta Segura do Samsung Galaxy adiciona uma camada extra de segurança

Instalando leitor de feeds QuiteRSS no Linux!

Cloudflare passa por ataque DDoS e registra recorde de solicitações por segundo

MARCADORES: Facebook, Facebook Messenger, MITM, Mohamed A. Baset, Noticias, Segurança, SSL Strip

Inscreva-se no boletim diário

Receba as últimas notícias de última hora diretamente na sua caixa de entrada.

Receba as novidades

Não se preocupe, não enviamos spam
Ao se inscrever, você concorda com nossos Termos de Uso e reconhece as práticas de dados em nossa Política de Privacidade. Você pode cancelar sua inscrição a qualquer momento.
Emanuel Negromonte 17/01/2017
Compartilhe este artigo
Facebook TwitterEmail Print
Compartilhe
Postador por Emanuel Negromonte
Siga:
Fundador do SempreUPdate. Acredita no poder do trabalho colaborativo, no GNU/Linux, Software livre e código aberto. É possível tornar tudo mais simples quando trabalhamos juntos, e tudo mais difícil quando nos separamos.
Artigo anterior Kernel Linux 4.4.43 Como instalar o Kernel Linux 4.4.43 no Ubuntu, Debian, Fedora, openSUSE e derivados
Próx Artigo distribuição antiX 16 Lançada primeira atualização de manutenção da distribuição antiX 16

Permaneça conectado

8.7k Curta
4.5k Siga
3.1k Siga
3.4k Siga

Acabamos de publicar

como-instalar-o-launcher-viper-no-linux
Como instalar o launcher Viper no Linux!
Apps para Linux
google-deve-expandir-recurso-de-deteccao-de-acidente-de-carro-para-alem-dos-telefones-pixel
Google deve expandir recurso de detecção de acidente de carro para além dos telefones Pixel
Google
google-hangouts-sera-encerrado-e-os-usuarios-terao-que-migrar-para-o-chat
Google Hangouts será encerrado e os usuários terão que migrar para o Chat
Google
como-instalar-o-softphone-siptop-no-linux
Como instalar o softphone Siptop no Linux!
Apps para Linux

Você pode gostar também

como-baixar-do-facebook-imagens-e-videos-de-bom-dia
Redes Sociais

Como Baixar do Facebook Imagens e Vídeos de Bom Dia

4 Min para leitura
pasta-segura-do-samsung-galaxy-adiciona-uma-camada-extra-de-seguranca
Samsung Galaxy

Pasta Segura do Samsung Galaxy adiciona uma camada extra de segurança

3 Min para leitura
phishing-pode-ter-feito-muitas-vitimas-no-dia-dos-namorados
Notícias

Phishing pode ter feito muitas vítimas no Dia dos Namorados

5 Min para leitura
GitHub disponibiliza nova ferramenta de identificação e acesso
Notícias

GitHub disponibiliza nova ferramenta de identificação e acesso

3 Min para leitura
//

Nós influenciamos mais de 2 milhões de pessoas todos os meses. Levamos informação com isenção e responsabilidade.

Outros links

  • Isenção de responsabilidade da parceria e publicidade SempreUpdate
  • Política financiamento e publicidade do SempreUpdate
  • Política de Ética SempreUpdate
  • Política de Correções SempreUpdate
  • Política de verificação de fatos SempreUpdate

Sobre o SempreUpdate

SempreUpdate é um site sobre Linux composto por membros das comunidades Linux ou código aberto. Além de Linux, também falamos sobre conteúdo Geek, e outros assuntos relacionados a tecnologia.

SempreUpdate SempreUpdate
Siga-nos

© 2022 SempreUpdate - Todos Os Direitos Reservados

Removed from reading list

Undo
Bem vindo de volta!

Faça login em sua conta

Lost your password?