Zero
Un polacco ricercatore di sicurezza ha pubblicato oggi i dettagli e proof-of-concept codice che può essere utilizzato per la creazione di una cucina completamente funzionale Facebook worm.
Questo codice sfrutta una vulnerabilità in Facebook la piattaforma che il ricercatore-che va sotto lo pseudonimo di Lasq– ha visto abusi in natura da Facebook spammer gruppo.
La vulnerabilità risiede anche nella versione mobile di Facebook finestra di dialogo di condivisione/popup. La versione desktop non è interessato.
Lasq dice che un clickjacking vulnerabilità è presente in questa finestra di dialogo di condivisione che un utente malintenzionato può sfruttare attraverso gli elementi iframe. Lo spammer gruppo, che sembra aver trovato questo problema prima di Lasq è stata (ab)uso di questa vulnerabilità per postare link su persone Facebook pareti.
Lasq spiega:
Così, ieri c’è stato questo molto fastidioso campagna di SPAM su Facebook, dove un sacco di miei amici ha pubblicato un link a quello che sembrava un sito ospitato su AWS secchio. Era un po ‘ di link di un sito francese con fumetti divertenti, che non fare clic su di esso, giusto?
Dopo aver cliccato sul link, il sito ospitato su AWS secchio apparso. Ha chiesto di verificare se hai più di 16 anni (in francese) per accedere ai contenuti riservati. Dopo aver fatto clic sul pulsante, si erano infatti reindirizzati ad una pagina con divertenti fumetti (e un sacco di annunci). Tuttavia, nel frattempo, lo stesso link che hai appena cliccato apparso sul vostro Facebook parete.
Il ricercatore ha detto, ha rintracciato il problema al cuore di questo problema di Facebook ignorando la “X-Frame-Options” intestazione di sicurezza per il cellulare finestra di dialogo di condivisione. Secondo l’industria-approvato MDN web docs, questa intestazione viene utilizzato da siti per evitare che il loro codice che viene caricato all’interno di iframe, ed è una protezione di base contro il clickjacking attacchi.
Lasq detto che ha segnalato il problema a Facebook, ma l’azienda ha rifiutato di patch.
“Come previsto Facebook ha rifiutato il problema, nonostante me cercando di sottolineare che questo ha implicazioni per la sicurezza,” ha detto. “Hanno dichiarato che per il clickjacking per essere considerato un problema di sicurezza, è necessario consentire a un hacker in qualche modo modificare lo stato del conto (così, ad esempio, disattivare le opzioni di sicurezza, o rimuovere l’account).”
“A mio parere si dovrebbe risolvere il problema,” il ricercatore aggiunto. “Come si può vedere questa funzionalità può essere molto facilmente abusato da un hacker per ingannare Facebook gli utenti a malincuore condividere qualcosa sul loro muro. Non posso sottolineare abbastanza quanto sia pericoloso questo. Questa volta è stato solo sfruttato per diffondere spam, ma posso facilmente pensare molto più sofisticato di utilizzo di questa tecnica.”
Il ricercatore sostiene che questa tecnica permette la minaccia attori facilmente inventare di auto-propagazione di messaggi di diffusione di malware o siti di phishing.
Contattato da ZDNet, Facebook giocato il problema, come hanno fatto con Lasq.
“Apprezziamo il ricercatore relazione e il tempo che ha messo in lavorare su questo”, ha detto un Facebook il portavoce. “Abbiamo costruito la capacità di corrente per il mobile social plugin/finestra di dialogo di condivisione per essere all’interno di iframe per permettere alle persone di avere integrato Facebook la condivisione di esperienze su 3 siti web di terzi.”
“Per aiutare a prevenire l’abuso, usiamo il clickjacking sistemi di rilevamento per qualsiasi iframeable plugin prodotto. Siamo continuamente di migliorare questi sistemi basati su segnali osserviamo,” Facebook ci ha detto. “Indipendentemente da questo rapporto, all’inizio di questa settimana abbiamo migliorato il nostro clickjacking rilevamenti in grado di attenuare i rischi descritti nel ricercatore del rapporto.”
Nota a margine: Lasq codice non include il clickjacking parte, quello che posti il contenuto del popolo, pareti, ma una semplice ricerca in internet dovrebbe fornire qualsiasi cattivo attore con i dettagli e codice di esempio per costruire quella parte e aggiungerlo al corrente di PoC. Lasq è solo il codice consente a un utente malintenzionato di caricare ed eseguire codice non autorizzato da un utente malintenzionato su Facebook l’account dell’utente.
Più sicurezza informatica copertura:
Microsoft rilascia l’aggiornamento della protezione per nuovo IE zero-dayChinese siti sono stati sotto attacco per una settimana per via di un nuovo framework PHP bugSQLite bug impatti migliaia di applicazioni, tra cui tutti Cromo-based browsersNew attacco intercetta le sequenze di tasti per via grafica librariesResearcher pubblica PoC per il nuovo Windows zero-dayWatch ricercatori in remoto di mattoni di un server di corrompere la sua BMC e UEFI firmwareRSA Conferenza: Questa volta con più donne CNETWindows 10 utenti devono attendere per installare l’aggiornamento più recente TechRepublic
Argomenti Correlati:
Di sicurezza, TV
La Gestione Dei Dati
CXO
Centri Dati
0