Una falla en Facebook Messenger fue solucionada en su versión en línea que exponía datos personales de sus usuarios, lo que permitía averiguar con qué otras personas habían mantenido conversaciones.
Según advirtió un experto en ciberseguridad, la falla se basa en un ataque de canal paralelo, que puede utilizarse para obtener metadatos de los usuarios con información sensible.
Este problema reside únicamente en la versión en línea de Messenger, a través del sistema de frames que utiliza. A través de un exploit en el navegador, la falla hace posible obtener las propiedades de origen de los elementos de la página.
Se había demostrado que la información de metadatos expuesta en los frames de las páginas web podría exponer datos como los Me gusta de Messenger o el historial de localizaciones de los usuarios.
Con prueba de concepto se demostró que si un atacante consigue hacerse con los metadatos sobre el estado de la página, puede obtener información personal del usuario.
Entre estos datos, se destacó que resultaba posible obtener la identidad de las personas con las que un usuario había conversado a través de su chat en esta versión de escritorio.
