Facebook MessengerのAndroidアプリとデスクトップの(Web上の)Facebookチャットに、バグが発見された。このバグを悪用するとチャットのテキストや画像やリンクなどのデータを変えたり削除したりできる。それによりMessengerの9億人のユーザーの一部が、不正行為の脅威にさらされることになる。
バグを発見したセキュリティ企業Check Pointの研究者たちによると、このバグを利用して会話の内容を変えたり、マルウェアを広めたりできる。Androidアプリとデスクトップではチャットのコンテンツを変えることができるので、会話に参加している人たちが実際に言ってないことを言ってるようにもできる。また、リンクを書き換えて(それをクリックすると)ユーザーがマルウェアに汚染されるようにもできる。リンクが書き換えられていることが分からなければ、クリックしてしまう可能性はとても大きい。
すでに知られているマルウェアやフィッシングサイトについては、Facebookがそれらの送付を以前からブロックしていた。同社はそういう情報を、Threat Exchangeの上でセキュリティの研究者たちと共有している。それは、デベロッパーのためのソーシャルメディアプラットホームだ。でも、新しい、まだ知られていないマルウェアはこの関門をすり抜けるだろう。
会話に加わっている者だけがこのバグを悪用できるので、信頼できる友だちだけが相手なら、たぶん危険はない。バグがあるのはMessengerアプリと、ブラウザー上で利用するFacebook.comのチャットだけだから、Messenger.comなどMessengerの他のバージョンなら正しい会話ができる。チャットがいじられていることが分かっても、Messengerの他のバージョンの上なら元のテキトにアクセスできる。
Check Pointでプロダクトの脆弱性の調査を担当しているOded Vanunuが、声明文の中でこう述べている: “この脆弱性を悪用するとサイバー犯罪者たちがチャットのスレッドの全体を、被害者に気づかれることなく変えられる。さらにまずいことに、ハッカーが自動化テクニックを実装して長期間セキュリティ対策を出しぬき、チャットの書き換えを続けることもできる。このたびFacebookが迅速に対応し、ユーザーのセキュリティを守ったことを賞賛したい”。
Check Pointにこのバグを報告されたFacebookは、5月にMessengerにパッチを当てた。Facebookには以前からバグ報告報奨制度(bug bounty program)があり、セキュリティの研究者や善人のハッカーたちからの問題報告を奨励している。Facebookのスポークスパーソンによると、この制度は“きわめて価値があった”。
Facebookはこのバグをブログで説明し、会話の変更は恒久的ではなかった、と述べている。“アプリケーションがメッセージデータをサーバーから再取り出しすると、Android上でコンテンツが自動的に修復されることを確認した。したがってそれは、恒久的には変えられていない”、と。
この記事は6月7日午後1時のアップデートにより、Facebookのブログ記事の詳細と、バグのデモビデオが加えられた。