Noll
En polsk säkerhet forskare har idag offentliggjort information och proof-of-concept kod som kan användas för att skapa en fullt funktionell Facebook mask.
Denna kod som utnyttjar en sårbarhet i Facebook plattform att forskaren-som går ut på nätet under pseudonymen Lasq– har sett missbrukas i naturen genom en Facebook grupp spammare.
Sårbarheten finns i den mobila versionen av Facebook dela dialog/popup-meny. Den stationära versionen påverkas inte.
Lasq säger att en clickjacking sårbarhet finns i denna mobil dela dialogrutan som en angripare kan utnyttja genom iframe-element. Spammare grupp som verkar ha hittat den här frågan innan Lasq har varit (ab)med hjälp av denna sårbarhet att posta länkar på folks Facebook väggar.
Lasq förklarar:
Så, igår var det mycket irriterande SPAM kampanj på Facebook, där en hel del av mina vänner publicerade en länk till vad som verkade som en plats värd på AWS hink. Det var någon länk till en fransk sajt med roliga serier, vem skulle inte klicka på det rätt?
Efter att du klickat på länken, den webbplats som finns på AWS hink dök upp. Det frågade du för att kontrollera om du är 16 eller äldre (på franska) för att komma åt begränsat innehåll. Efter att du klickat på knappen, du var verkligen omdirigeras till en sida med roliga komiska (och en hel del annonser). Men under tiden den samma länk du klickade bara dykt upp på din Facebook wall.
Forskaren sa att han spårat upp frågan i hjärtat av detta problem till Facebook ignorerar “X-Frame-Val” säkerhet header för den mobila dela dialogrutan. Enligt branschen godkända MDN web-dokument, detta huvud används av webbplatser för att förhindra att deras kod laddas inuti iframes, och är ett primärt skydd mot clickjacking attacker.
Lasq sade han rapporterade frågan till Facebook, men företaget vägrade att korrigera det.
“Som väntat Facebook minskade frågan, trots att jag försöker att understryka att detta har konsekvenser för säkerheten”, sade han. “De uppgav att för clickjacking att betraktas som en fråga om säkerhet, det måste göra det möjligt för angripare att på något sätt ändra status för kontot (så till exempel inaktivera säkerhet alternativ, eller ta bort konto).”
“Jag anser att de ska fixa det här,” forskaren lagt till. “Som ni kan se här” – funktionen ” kan vara extremt lätt utnyttjas av en angripare för att lura Facebook användare för att på så sätt dela med sig av något på sin vägg. Jag kan inte nog betona hur farligt detta är. Denna gång var det bara utnyttjas för att sprida spam, men jag kan lätt tänka mycket mer sofistikerad användning av denna teknik.”
Forskaren hävdar att denna teknik gör det möjligt hot mot aktörer som är enkelt att koka själv sprida meddelanden som sprider skadlig kod eller nätfiske.
Kontaktade av ZDNet, Facebook tonade ner frågan, som de gjorde med Lasq.
“Vi uppskattar forskarens rapport och den tid han har lagt ned på att arbeta med detta,” sade en Facebook talesperson. “Vi har byggt den nuvarande möjligheten för den mobila sociala plugin/aktie dialogrutan för att vara iframed att göra det möjligt för människor att ha integrerat Facebook dela erfarenheter på 3: e parts webbplatser.”
“För att hjälpa till att förhindra missbruk, vi använder clickjacking detection system för alla iframeable plugin produkt. Vi ständigt förbättra dessa system baserat på signaler som vi observerar,” Facebook berättade för oss. “Oberoende av denna rapport, tidigare denna veckan har vi gjort förbättringar till vår clickjacking upptäckter att minska de risker som beskrivs i forskarnas rapport.”
Sida notera: Lasq kod inkluderar inte clickjacking del, en som inlägg innehåll på folks väggar, men en enkel sökning på internet skulle ge någon dålig skådespelare med detaljer och exempel på kod för att bygga upp den delen och lägg till det att den aktuella PoC. Lasq kod är endast tillåter en angripare att ladda och köra otillåten kod från en angripare på en Facebook-användares konto.
Mer cybersäkerhet täckning:
Microsoft släpper säkerhetsuppdateringar för nya IE noll-dayChinese webbplatser har varit under attack för en vecka via en ny PHP-ramverk bugSQLite bugg påverkan tusentals appar, inklusive alla Krom-browsersNew attack fångar tangenttryckningar via grafik librariesResearcher publicerar PoC för nya Windows noll-dayWatch forskare på distans tegel en server genom att korrumpera sin BMC och UEFI firmwareRSA Konferens: den Här gången med fler kvinnor CNETWindows 10 användare bör vänta med att installera den senaste uppdateringen TechRepublic
Relaterade Ämnen:
Säkerhet-TV
Hantering Av Data
CXO
Datacenter
0