Việc khai thác lỗ hổng bảo mật trên, theo Check Point, được thực hiện khi tiến hành tìm kiếm trong Messenger cụm từ "message_id" định danh của một tin nhắn, sau đó làm thay đổi nội dung tin nhắn và gửi nó lại cho Facebook chấp nhận những nội dung mới như một sự xác thực, mà không báo cho người nhận về sự thay đổi.
Như vậy, một người nào đó có thể gửi cho bạn một liên kết vô hại trong một cuộc hội thoại nhắn tin Messenger, và sau đó thay đổi liên kết dẫn đến một gói cài đặt phần mềm độc hại và lây nhiễm hệ thống máy tính của bạn.
"Bằng cách khai thác lỗ hổng này, kẻ tội phạm mạng có thể thay đổi toàn bộ cuộc trò chuyện mà không nạn nhân nào có thể nhận ra (...)," Oded Vanunu, chuyên gia bảo mật của Check Point, cho biết trong một tuyên bố.
Theo Check Point, lỗ hổng trên đã được phát hiện hồi đầu tháng này; Facebook đã được thông báo về lỗ hổng và kịp thời sửa chữa nó.
Trong một bài đăng blog ngày thứ Ba 7/6, Facebook giải thích rằng lỗi này chỉ ảnh hưởng đến ứng dụng Messenger trên Android. Thêm nữa,Facebook cho rằng, lỗ hổng trên không thể được sử dụng để lây nhiễm hệ thống máy tính của người dùng với phần mềm độc hại, do vấp phải các hệ thống lọc, chống thư rác và chống virus của các công ty.