Nul
Een poolse security-onderzoeker heeft vandaag gepubliceerde details en proof-of-concept code die gebruikt kunnen worden voor het maken van een volledig functionele Facebook worm.
Deze code maakt misbruik van een beveiligingslek in het Facebook-platform dat de onderzoeker-die online gaat, onder het pseudoniem van Lasq– gezien heeft misbruikt in het wild door een Facebook spammer groep.
De kwetsbaarheid bevindt zich in de mobiele versie van de Facebook delen dialoog/pop-up. De desktop-versie wordt niet beïnvloed.
Lasq zegt dat een clickjacking er bestaat een beveiligingsprobleem in deze mobiele delen dialoog die een aanvaller kan misbruiken door iframe-elementen. De spammer groep die lijkt te hebben gevonden voor dit probleem voordat Lasq is (ab)met behulp van deze kwetsbaarheid om links te plaatsen op de Facebook muren.
Lasq legt uit:
Zo, gisteren was er een zeer vervelende SPAM-campagne op Facebook, waar veel van mijn vrienden, publiceerde een link naar wat leek op een site gehost op AWS emmer. Het was een link naar een franse site met grappige comics, wie zou niet op het juiste?
Nadat je op de link hebt geklikt, wordt de website gehost op AWS emmer verscheen. Het vraagt je om te controleren of als u 16 jaar of ouder (in het frans) om toegang te krijgen tot de inhoud waarvoor restricties gelden. Nadat u hebt geklikt op de knop, je was inderdaad doorverwezen naar een pagina met grappige strip (en veel advertenties). Maar in de tussentijd dezelfde link die je net hebt geklikt verscheen op uw Facebook muur.
De onderzoeker zei hij opgespoord op het probleem in het hart van dit probleem om Facebook negeren van de “X-Frame-Options” security header voor de mobiele delen van het dialoogvenster. Volgens de industrie goedgekeurd MDN web-documenten, deze header wordt gebruikt door websites om te voorkomen dat hun code wordt geladen in iframes, en is een primaire bescherming tegen clickjacking aanvallen.
Lasq zei hij meldde het probleem aan Facebook, maar het bedrijf weigerde te patchen.
“Zoals verwacht Facebook daalde het probleem, ondanks mij proberen om te onderstrepen dat dit heeft gevolgen voor de veiligheid,” zei hij. “Zij vermeld dat voor de clickjacking te worden beschouwd als een beveiligings probleem, het moet een aanvaller om de een of andere manier wijzigen van de status van de account (dus bijvoorbeeld het uitschakelen van de beveiliging opties, of verwijderen van het account).”
“Naar mijn mening moeten ze dit oplossen,” de onderzoeker toegevoegd. “Zoals je kunt zien deze ‘functie’ kan zeer gemakkelijk misbruikt door een aanvaller te misleiden Facebook-gebruikers ongewild iets delen op de muur. Ik kan niet genoeg benadrukken hoe gevaarlijk deze is. Deze keer was het alleen benut om zich te verspreiden van spam, maar ik kan gemakkelijk denken van veel meer geavanceerd gebruik van deze techniek.”
De onderzoeker stelt dat deze techniek maakt het mogelijk om dreigingen te gemakkelijk verzinnen zelf het uitdragen van boodschappen die verspreiding van malware of phishing-sites.
Gecontacteerd door ZDNet, Facebook gespeeld probleem, zoals ze deden met Lasq.
“We waarderen de onderzoeker van het rapport en de tijd stak hij in het werken op deze,” zei een Facebook-woordvoerder. “We bouwen de huidige mogelijkheid voor de mobiele sociale plug-in/delen van het dialoogvenster om te worden iframe mensen in staat stellen om geïntegreerde Facebook delen ervaringen op 3rd party websites.”
“Om misbruik te voorkomen, gebruiken we clickjacking detectie systemen voor elke iframeable plugin product. Wij continu verbeteren van deze systemen op basis van signalen die we observeren,” Facebook ons verteld. “Los van dit rapport, eerder deze week maakten we verbeteringen aan onze clickjacking detecties dat het inperken van de risico’ s beschreven in de onderzoeker het rapport.”
Side note: Lasq de code, omvat niet de clickjacking deel, die de posten van content op de muren van mensen, maar een simpele zoekopdracht op het internet zou bieden geen slechte acteur met de details en voorbeeldcode voor het bouwen van dat onderdeel en voeg het toe aan de huidige PoC. Lasq de code alleen kan een aanvaller te laden en uitvoeren van ongeautoriseerde code van een aanvaller op een Facebook gebruiker.
Meer cybersecurity dekking:
De versies van Microsoft beveiligingsupdate voor nieuwe IE nul-dayChinese websites zijn aangevallen voor een week via een nieuwe PHP framework bugSQLite bug effecten duizenden apps, inclusief alle Chroom-gebaseerd browsersNew aanval onderschept toetsaanslagen via grafische librariesResearcher publiceert PoC voor de nieuwe Windows zero-dayWatch onderzoekers op afstand baksteen van een server door de beschadiging van de BMC en de UEFI firmwareRSA Conferentie: Dit keer met meer vrouwen CNETWindows 10 gebruikers moeten wachten tot de meest recente update installeren TechRepublic
Verwante Onderwerpen:
Beveiliging TV
Data Management
CXO
Datacenters
0