Kwetsbaarheid in Facebook Messenger werkte zowel in app als browser

Facebook Messenger had een kwetsbaarheid die met basiskennis van html misbruikt kon worden. De kwetsbaarheid deed zich zowel in de app-versie als de online chatfunctie binnen de Facebook-website voor. Het probleem is inmiddels opgelost.

Via de kwetsbaarheid kon een gebruiker achteraf een bericht wijzigen, zoals het aanpassen of verwijderen van foto's, links, bestanden en uiteraard het tekstbericht zelf. Nadat beveiligingsbedrijf Checkpoint het lek meldde, dichtte Facebook het lek direct. Het grootste gevaar zit volgens Checkpoint in het manipuleren van berichten als onderdeel van fraudecampagnes en als distributieplatform voor ransomware. Vaak wordt ransomware al snel niet meer verspreid via e-mail omdat de inhoud van het bericht bekend is en vervolgens niet meer wordt verspreid. Als iemand achteraf die links alsnog kan plaatsen op een plek die niet meer gecontroleerd wordt, verlengt dat de looptijd van ransomware-campagnes.

Om het lek te kunnen misbruiken, moest de aanvaller het bericht-identificatienummer achterhalen, de message_id-parameter. Dit kon een aanvaller doen door een aanvraag naar www.facebook.com/ajax/mercury/thread_info.php te sturen. Vervolgens kon een aanvaller het bericht wijzigen zonder dat er een push message naar de andere gebruiker gezonden werd.

Een hacker moest wel zelf in kunnen loggen op een account waarmee de chat in het verleden gevoerd werd om een chat te kunnen onderscheppen. Dat kan de persoon zelf zijn die zich voordoet als vriend en zo met veel mensen banden aanhaalt, maar eigenlijk kwade bedoelingen in de zin heeft of iemand die een account van iemand heeft weten te kapen en zo vervolgens chats manipuleert.

Door Krijn Soeteman

Freelanceredacteur

Feedback • 07-06-2016 18:30 18

07-06-2016 • 18:30

18

Lees meer

Belgische hacker vindt bugs die verborgen telefoonnummers op Facebook openbaart
Belgische hacker vindt bugs die verborgen telefoonnummers op Facebook openbaart Nieuws van 11 januari 2017
Facebook komt met 'lichtere' versie van Messenger
Facebook komt met 'lichtere' versie van Messenger Nieuws van 3 oktober 2016
Facebook Messenger heeft een miljard actieve gebruikers
Facebook Messenger heeft een miljard actieve gebruikers Nieuws van 20 juli 2016
Onderzoekers vinden lek dat overnemen D-Link-wificamera mogelijk maakt
Onderzoekers vinden lek dat overnemen D-Link-wificamera mogelijk maakt Nieuws van 9 juni 2016
Gerucht: WhatsApp krijgt ondersteuning voor animated gifs
Gerucht: WhatsApp krijgt ondersteuning voor animated gifs Nieuws van 7 juni 2016
Belgische Orde der Artsen ontmoedigt Tor-browser op pc met patiëntengegevens
Belgische Orde der Artsen ontmoedigt Tor-browser op pc met patiëntengegevens Nieuws van 30 mei 2016
'Angler-exploitkit is de meest geavanceerde en zal dat nog een tijd blijven'
'Angler-exploitkit is de meest geavanceerde en zal dat nog een tijd blijven' Nieuws van 27 mei 2016
Nieuwe CryptXXX-ransomware is ook na kopen decryptiesleutel niet te verwijderen
Nieuwe CryptXXX-ransomware is ook na kopen decryptiesleutel niet te verwijderen Nieuws van 25 mei 2016
Criminelen geven universele sleutel voor TeslaCrypt-ransomware vrij
Criminelen geven universele sleutel voor TeslaCrypt-ransomware vrij Nieuws van 19 mei 2016
Meer producten en artikelen
Websites en community's Facebook Facebook Messenger

Reacties (18)

-Moderatie-faq
18
18
8
0
0
2
Wijzig sortering

Sorteer op:

Weergave:
Coffee 7 juni 2016 21:12
Sinds kort kan je niet geen Facebook messenger berichten meer sturen via de site. De oplossing is simpel, gebruik Facebook messenger alleen nog op desktop of gebruik het niet meer. Ik ga geen Facebook App installeren (heeel misschien een third party app) en ook geen Facebook messenger. Ze kunnen de pot op!

Btw, he kunt nog wel berichten sturen via de site maar je moet na elke klik het 'download de messenger app' venster wegklikken

[Reactie gewijzigd door Coffee op 29 juli 2024 05:09]

markimarc @Coffee8 juni 2016 01:34
Probeer eens Swipe For Facebook, gebruik het al een tijdje en is een perfecte vervanger voor de originele Facebook app! :)

Gratis versie: https://play.google.com/s...dios.swipeforfacebookfree
Pro versie (support voor de developer): https://play.google.com/s...udios.swipeforfacebookpro
EDIT: For Facebook erbij getypt en linkjes ;p

[Reactie gewijzigd door markimarc op 29 juli 2024 05:09]

Coffee @markimarc8 juni 2016 09:26
Ik heb kort metal gebruikt, maar die vond ik niet fijn werken.. Ik zal deze eens uitproberen!
judith418 @markimarc8 juni 2016 15:47
Ik gebruikte ook een tijdje metal, maar dit werkt een stuk fijner. Bedankt! :P
WCA @Coffee7 juni 2016 22:46
Je kan messenger.com gebruiken, desktopmodus in chrome aanzetten :)
Tiesemans @Coffee7 juni 2016 23:21
Ik denk er net zo over ...
Spijtig dat het zo moet maar ik verdom het om hun Messenger app te installeren.
r3agluurder 7 juni 2016 19:19
Wat ik mij afvraag, als dit met een simpel vergkrijgbare vulnerability tool uit te voeren valt, waarom test Facebook dit soort dingen niet? Er zijn zat methoden om webapplicaties goed door te lichten.

[Reactie gewijzigd door r3agluurder op 29 juli 2024 05:09]

TheSiemNL 8 juni 2016 13:07
Ik snap helemaal niet waarom mensen dit gebruiken, hebben ze de voorwaarden wel eens gelezen???
Dreamvoid 7 juni 2016 18:56
Laat ze dan maar snel Whatsapp integreren met de missende features (meerdere tel nrs per account, history en ondersteuning van tablets/PC's), dan kunnen ze FB Messenger ook de deur uit doen.
icratox @Dreamvoid7 juni 2016 19:02
Ergens hoop ik juist absoluutniet dat whatsapp in Messenger word geïntegreerd.. ik vind het al vervelend genoeg om Messenger te moeten gebruiken
alwaysleft @icratox7 juni 2016 19:03
Het enige wat ik echt minder vind aan Messenger is dat het een batterijslurper is. Voor de rest fijne chatapp.
Dreamvoid @icratox7 juni 2016 19:13
Dat bedoel ik niet, ik bedoel dat ze de laatste missende features in Whatsapp implementeren en daarna die hele Messenger app stoppen. Chat is nu toch al mooi losgetrokken van Facebook (en Whatsapp scant toch je FB contacten al), dan is dat nog maar een kleine stap.

[Reactie gewijzigd door Dreamvoid op 29 juli 2024 05:09]

vinkjb @Dreamvoid7 juni 2016 21:59
Ja kan ook FB verwijderen van je mobiel hoor, heb ik ook gedaan, alsik faceboken wil doe ik dat wel thuis op pc
xiphoid @icratox7 juni 2016 21:03
Als het cross platform en cross device wordt, ja. Anders, laat maar zitten.
Verwijderd @Dreamvoid7 juni 2016 18:58
Idd, maar dan zullen ze whatsapp gewoon hernamen naar messenger.
mutley69 7 juni 2016 22:53
Dit gebeurt - en wie minimalist is - heeft meer kans er aan te ontsnappen - dus... zo geen ellende voor mij graag.
Verwijderd 8 juni 2016 07:48
MSN was de shit rond het jaar 2000. Alleen mobieltjes waren de toekomst. MSN had destijds ook een messenger moeten lanceren. Alleen MSN is later toegevoegd in Skype zonder succes, want Whatsapp was al groot. Dus waarom zou je tegenwoordig nog een chatprogramma willen hebben naast Whatsapp ? Zoals ik al las en waar ik het eens mee ben. Eigenaar van Facebook heeft ook Whatsapp, dus waarom niet combineren.
Verwijderd 8 juni 2016 12:33
ow lekker nou snap ik waarom ik mensen niet meer kan blokkeren op facebook pagina's.

Facebook heeft het moeilijker gemaakt om mensen te blokkeren op je facebook pagina. Mensen kunnen namelijk referenties op je pagina zetten terwijl ze geen fan van je zijn en dus moeilijk te blokkeren..

Deze truck met id gebruik ik dus meer dan 1 jaar juist om mensen te blokkeren op facebook pagina's..

Ik baaaaaal als een stekker dat het nu niet meer kan :@:@ het is geen fout het is een functie..

Op dit item kan niet meer gereageerd worden.

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq