Onderzoekers van beveiligingsbedrijf Check Point schrijven in een blog dat ze de kwetsbaarheid hebben gemeld bij Facebook en dat het lek direct gedicht is.
Elk bericht in Facebook Messenger krijgt een eigen bericht-id mee. De onderzoekers zijn erin geslaagd om deze bericht-id’s te achterhalen en aangepast naar de servers van Facebook te sturen.
Op deze manier veranderde de inhoud van het originele bericht zonder dat de ontvanger dit door had. Dat was ook mogelijk nadat het originele bericht verstuurd of gelezen was.
Video: Onderzoekers laten zien hoe de hack werkt
Malware
Bovendien konden de onderzoekers ook linkjes aanpassen en foto’s verwijderen of wijzigen. In potentie kunnen kwaadwillenden een veilige link zo vervangen door een link naar malware, schrijft Check Point.
Volgens de onderzoekers worden berichten van Facebook Messenger ook regelmatig in rechtszaken tussen bedrijven gebruikt en zouden deze bedrijven de chats via het lek kunnen vervalsen.
Toegang
Om berichten te kunnen aanpassen moest een hacker wel de persoon zijn die het originele bericht verstuurde, of hij moest toegang hebben tot het Facebookaccount van de verzender.
Het gebruik van Messenger is door Facebook verplicht om privéberichten te kunnen versturen. Zo’n 900 miljoen mensen wereldwijd gebruiken Messenger.
Het is onduidelijk of er daadwerkelijk misbruik is gemaakt van het lek.