Nul
En polsk sikkerheds-forsker har i dag offentliggjort detaljer og proof-of-concept kode, der kan bruges til at skabe en fuldt funktionel Facebook orm.
Denne kode, der udnytter en sårbarhed i Facebook-platformen, at forskeren-som går under pseudonymet Lasq– har oplevet at blive misbrugt i vild med en Facebook spammer gruppe.
Sårbarheden er bosat i den mobile version af Facebook dialog til deling/popup. Desktop-versionen er ikke påvirket.
Lasq siger, at en clickjacking sårbarhed i denne mobil deling i dialogboksen, som en hacker kan udnytte gennem iframe-elementer. Spammer gruppe, der ser ud til at have fundet dette spørgsmål, før Lasq har været (ab)bruge denne sårbarhed til at poste links på folks Facebook-vægge.
Lasq forklarer:
Så i går der var det meget irriterende SPAM-kampagne på Facebook, hvor en masse af mine venner har offentliggjort et link til hvad der virkede som et websted er hostet på AWS spand. Det var nogle link til en fransk hjemmeside med sjove tegneserier, som ikke ville klikke på det rigtige?
Når du har klikket på linket site hosted på AWS spand dukkede op. Det beder dig om at kontrollere, hvis du er 16 år eller ældre (på fransk) for at få adgang til det begrænsede indhold. Når du har klikket på den knap, du var faktisk omdirigeret til en side med sjove tegneserie (og en masse annoncer). Men i mellemtiden er det samme link, du netop har klikket dukkede op på din Facebook væg.
Forskeren sagde, at han opsporet problemet i hjertet af dette problem, at Facebook ignorere “X-Frame-Options” sikkerhed header til mobil deling i dialogboksen. I henhold til industri-godkendte MDN web-dokumenter, denne overskrift er, som anvendes af websteder til at forhindre, at deres kode i at blive indlæst inde i iframes, og er en primær beskyttelse mod clickjacking-angreb.
Lasq sagde han rapporterede spørgsmål til Facebook, men selskabet afviste at lappe det.
“Som forventet Facebook faldt det problem, på trods af at jeg prøver at understrege, at dette har konsekvenser for sikkerheden,” sagde han. “De anførte, at for clickjacking at blive betragtet som et spørgsmål om sikkerhed, det skal gøre det muligt for angriberen at en eller anden måde ændre tilstanden af-konto (altså for eksempel deaktivere sikkerhedsindstillinger, eller fjern konto).”
“Efter min mening bør de rette dette,” den forsker, der er tilføjet. “Som du kan se, denne “feature” kan være ekstremt nemt misbrugt af en hacker mulighed for at narre Facebook-brugere til at ufrivilligt deler noget på deres væg. Jeg kan ikke understrege nok, hvor farligt det er. Denne gang var det kun udnyttes til at sprede spam, men jeg kan sagtens tænke på meget mere sofistikeret brug af denne teknik.”
Forskeren argumenterer for, at denne teknik giver mulighed trussel aktører til nemt at brygge selv-analyser af formerings-beskeder, der spreder malware eller phishing-websteder.
Kontaktet af ZDNet, Facebook spillet ned spørgsmål, som de gjorde med Lasq.
“Vi sætter pris på den forsker, og den tid, han har lagt i at arbejde på dette,” sagde en Facebook-talsmand. “Vi har bygget den nuværende mulighed for, at den mobile social plugin/share dialog til at være iframe til at gøre det muligt for mennesker at have integreret Facebook deling af erfaringer på 3rd parts hjemmesider.”
“For at hjælpe med at forhindre misbrug, har vi brug clickjacking detection systemer til enhver iframeable plugin produkt. Vi forbedrer løbende disse systemer baseret på signaler, vi observerer,” Facebook har fortalt os. “Uafhængigt af denne rapport, tidligere i denne uge har vi lavet forbedringer til vores clickjacking fund, der kan afbøde de risici, der er beskrevet i forskernes rapport.”
Side bemærkning: Lasq kode omfatter ikke clickjacking del, at stillinger indhold på folks vægge, men en simpel søgning på internettet vil give nogen dårlig skuespiller, med detaljer og prøve kode for at opbygge denne del, og føje den til den nuværende PoC. Lasq kode kun muligt for en angriber at indlæse og køre uautoriseret kode i at en hacker på en Facebook brugerens konto.
Mere cybersecurity dækning:
Microsoft frigiver sikkerhedsopdatering til nye IE nul-dayChinese hjemmesider har været under angreb i en uge, via en ny PHP-framework bugSQLite fejl virkninger tusindvis af apps, herunder alle Chromium-baseret browsersNew angreb opfanger tastetryk via grafik librariesResearcher offentliggør PoC for nye Windows nul-dayWatch forskere, eksternt mursten af en server ved at ødelægge sin BMC og UEFI firmwareRSA Konferencen: Denne gang med flere kvinder CNETWindows 10 brugere bør vente med at installere den seneste opdatering TechRepublic
Relaterede Emner:
Sikkerhed-TV
Data Management
CXO
Datacentre
0