安全研究员在Facebook Messenger上发现了一个比较严重的漏洞，可以允许攻击者查看所有的隐私聊天记录，预估这一漏洞将影响近10亿Messenger用户。

Ysrael Gurt，一位来自BugSec 和Cynet的安全研究员，在Facebook Messenger上发现了一个跨域绕过攻击（cross-origin bypass-attack）漏洞，可允许攻击者查看你的私人信息、以及通过Facebook Messenger发送的照片和附件。

如果要成功利用这个漏洞，攻击者需要诱骗受害者访问一个恶意网站上，并且只要受害者访问恶意网站就足够了，足以完成攻击过程。一旦受害者点开了恶意网站，受害者在Facebook上的聊天信息（无论是移动APP还是网页）就全部暴露给了攻击者。

攻击详情

这个漏洞不仅会影响网页版的Facebook Messenger，还会影响移动APP版的Facebook Messenger。Ysrael Gurt已经将这一漏洞命名为了Originull，Facebook Messenger是托管在一个位于{number}-edge-chat.facebook.com的服务器上，和Facebook真正的域名（www.facebook.com）是有区别的。

JavaScript和服务器之间的通信是通过XML HTTP请求(XHR)完成的。为了访问5-edge-chat.facebook.com的数据，Facebook必须添加Access-Control-Allow-Origin头部至caller’s origin，并且Access-Control-Allow-Credentials头部的值要设置为true，这样的话就能查看所有的信息了。

跨域头部工具配置有误

真正的原因是Facebook聊天服务器域名的跨域头部工具配置有误，攻击者可以以此绕过域名检查，从外网访问Facebook的聊天信息。但是，对于secret conversation 聊天模式（也就是Facebook Messenger的端对端加密聊天功能）不受该漏洞的影响。

BugSec的首席技术官Stas Volfus表示：

这是一个非常严重的安全问题，不仅仅是因为受害人群比较广，还有一个更为严重的方面，即使受害者用另外一台电脑或者手机发送信息，攻击者同样能查看其发送的信息。

Ysrael Gurt是在Facebook发起的漏洞奖金计划项目中发现的这一漏洞，Facebook的安全团队已经知晓该漏洞的存在，并且也已经修复。