Un investigador de seguridad ha descubierto una vulnerabilidad crítica en Facebook Messenger que podría permitir a un atacante leer toda una conversación privada, afectando la privacidad de alrededor de 1 billón de usuarios de Messenger.

Ysrael Gurt, el investigador de seguridad en BugSec y Cynet, informó de un ataque de bypass de origen cruzado contra Facebook Messenger que permite a un atacante acceder a mensajes privados, fotos y archivos adjuntos enviados en el chat de Facebook.

Para explotar esta vulnerabilidad, todo lo que un atacante necesita es engañar a la víctima para que visite un sitio web malicioso; eso es todo.

Una vez hecho clic, todas las conversaciones privadas de la víctima, ya sea desde la aplicación móvil de Facebook o un navegador web será accesible para el atacante ya que la falla afecta tanto al chat web como a la aplicación móvil.

Bautizado como "Originull", la vulnerabilidad radica en el hecho de que los chats de Facebook se administran desde un servidor ubicado en {numero} -edge-chat.facebook.com, que está separado del dominio real de Facebook (www.facebook.com).

"La comunicación entre el JavaScript y el servidor se realiza mediante XML HTTP Request (XHR). Para acceder a los datos que llegan desde 5-edge-chat.facebook.com en JavaScript, Facebook debe agregar la cabecera "Access-Control-Allow-Origen" junto al origen del solicitante y la cabecera "Access-Control-Allow-Credentials" con el valor "true", para que los datos sean accesibles incluso cuando se envían las cookies", explicó Gurt.

El origen de este problema fue una configuración deficiente del encabezado de origen cruzado implementado en el dominio de servidor del chat de Facebook, lo que permitió a un atacante evitar las comprobaciones de origen y acceder a los mensajes de Facebook desde un sitio web externo.

Gurt también ha sacado una prueba de concepto en un vídeo demostrando la vulnerabilidad de Originull, que muestra el ataque de bypass de origen cruzado en acción.

Sin embargo, Conversaciones Secretas, la función de chat cifrado de punto a punto de Facebook Messenger, no se vio afectada por este error, ya que puede iniciarse o lanzarse únicamente utilizando la aplicación para dispositivos móviles.

"Este defecto de seguridad significaría que los mensajes de 1 billón de usuarios mensuales activos de Messenger mensuales fueran vulnerables a los atacantes", dijo Stas Volfus, director de tecnología de BugSec.

"Este fue un asunto extremadamente serio, no solo debido al gran número de usuarios afectados, sino también porque incluso si la víctima enviaba sus mensajes usando otra computadora o móvil, seguían siendo completamente vulnerables".

El investigador reveló la grave vulnerabilidad a Facebook a través de su programa Bug Bounty. El equipo de seguridad de Facebook reconoció el problema y corrigió el componente vulnerable.