記者葉立斌/綜合報導
國外的資訊安全廠商Check Point於日前揭露了一項你我都在使用,且相當重要的資安漏洞:在臉書專用的通訊軟體「Facebook Messenger」的電腦和手機應用程式中發現漏洞的詳細資訊,有心人士可窺看甚至竄改對話內容。在Check Point揭露之後,Facebook迅速修復了漏洞。
這個漏洞是什麼呢?Check Point表示,此安全漏洞允許攻擊者修改Facebook Online Chat 與 Messenger應用程式中的聊天記錄。攻擊者可修改或刪除發送的任何訊息、照片、檔案、連結等。許多用戶使用Facebook進行個人和業務的連絡,這使此類漏洞對惡意攻擊者更具有吸引力。
首先,攻擊者可修改聊天記錄,第二是可能影響正在進行的法律調查。相信你一定知道,Facebook聊天記錄的內容,在法庭上可視為證據提交。使得惡意攻擊者可能用這方法隱藏犯罪證據。更嚴重的是,有心人士可用這方法,散布惡意軟體。攻擊者可將合法連結或檔案變成有問題的檔案,並輕鬆說服受害者點開。隨後,惡意攻擊者可利用這種方法來更新連結,以包含最新C&C位址,更新釣魚方案。
該漏洞由Check Point在6月初向Facebook安全小組揭露後,Facebook立即回應,該漏洞已在第一時間修復。但是否有使用者因這個漏洞蒙受損失,Check Point與Facebook兩方都沒有公布數據。Facebook已支付酬金給Check Point。從2011年開始,Facebook執行抓蟲計畫至今,已發出430萬美元獎金。其中包含台灣青年張啟元抓出的臉書漏洞,在提交後,臉書官方付了3萬元台幣答謝。
▲用圖片簡單說明駭客可能使用的手法。(圖/Check Point提供)