Zero
Un polonais chercheur en sécurité a publié aujourd’hui les détails et la preuve-de-concept de code qui peut être utilisé pour créer un entièrement fonctionnel Facebook ver.
Ce code exploite une vulnérabilité dans le Facebook plate-forme que le chercheur-qui est en ligne sous le pseudonyme de Lasq– a vu maltraité dans la nature par un Facebook spammeur groupe.
La vulnérabilité réside dans la version mobile de Facebook de partage de la boîte de dialogue contextuelle. La version de bureau n’est pas affectée.
Lasq dit qu’un clickjacking vulnérabilité existe dans ce mobile de partage de dialogue qu’un attaquant peut exploiter à travers des éléments iframe. Le spammeur groupe qui semble avoir trouvé cette question avant de Lasq a été (ab)à l’aide de cette vulnérabilité pour poster des liens sur Facebook murs.
Lasq explique:
Donc, hier il y avait de cela très ennuyeux campagne de SPAM sur Facebook, où beaucoup de mes amis ont publié un lien vers ce qui semblait être un site hébergé sur AWS seau. C’était un lien vers un site en français avec des drôles de bandes dessinées, qui ne serait pas sur la bonne?
Après que vous avez cliqué sur le lien, le site hébergé sur AWS seau est apparu. Il vous a demandé de vérifier si vous avez 16 ans ou plus (en français) afin d’accéder au contenu restreint. Après que vous avez cliqué sur le bouton, vous ont en effet redirigé vers une page de bande dessinée drôle (et un grand nombre d’annonces). Toutefois, dans l’intervalle, le même lien, vous avez juste a cliqué est apparu sur votre Facebook mur.
Le chercheur a dit qu’il a traqué la question au cœur de ce problème à Facebook en ignorant les “X-Frame-Options” en-tête de sécurité pour le mobile de partage de dialogue. Selon l’industrie-approuvé MDN web docs, cet en-tête est utilisé par des sites à éviter leur code d’être chargé à l’intérieur des iframes, et est une première protection contre le détournement de clics attaques.
Lasq a dit qu’il a signalé le problème à Facebook, mais la compagnie a refusé de le patcher.
“Comme prévu, Facebook a refusé le problème, malgré le fait que je tente de souligner que cela a des répercussions sur la sécurité,” dit-il. “Ils ont déclaré que, pour le détournement de clics pour être considéré comme un problème de sécurité, il doit permettre à l’attaquant de changer quelque chose à l’état du compte (ainsi, par exemple, désactiver les options de sécurité, ou de supprimer le compte).”
“À mon avis on devrait corriger cet,” le chercheur ajouté. “Comme vous pouvez le voir, cette option peut être très facilement abusé par un attaquant pour le truc de Facebook les utilisateurs à contrecoeur à partager quelque chose sur son mur. Je ne peux pas souligner assez combien dangereuse c’est. Cette fois, il a été exploité pour la propagation de spam, mais je peux facilement penser de beaucoup plus sophistiqués de l’utilisation de cette technique.”
Le chercheur affirme que cette technique permet menace acteurs de facilement concocter auto-propagation des messages de la propagation des logiciels malveillants ou des sites de phishing.
Contacté par ZDNet, Facebook a joué le problème, comme ils l’ont fait avec Lasq.
“Nous apprécions le chercheur du rapport et le temps qu’il a mis dans le travail sur ce,” a dit un Facebook porte-parole. “Nous avons construit la capacité actuelle pour le mobile social plugin/share boîte de dialogue de iframed pour permettre aux gens d’avoir intégré Facebook partager les expériences sur les sites web 3ème partie.”
“Pour aider à prévenir les abus, nous utilisons le clickjacking systèmes de détection pour toute iframeable plugin produit. Nous cherchons constamment à améliorer ces systèmes basés sur des signaux de nous observer,” Facebook nous a dit. “Indépendamment de ce rapport, plus tôt cette semaine, nous avons apporté des améliorations à notre clickjacking détections pour atténuer les risques décrits dans le chercheur dans son rapport.”
Note de côté: Lasq code n’inclut pas le clickjacking partie, celle qui publie du contenu sur les murs, mais une simple recherche sur internet peut offrir toute mauvaise actrice avec des détails et des exemples de code pour construire la partie, et l’ajouter à la PoC. Lasq du code permet à un attaquant pour charger et exécuter le code non autorisé à partir d’un attaquant sur un Facebook compte de l’utilisateur.
Plus de la cybersécurité de la couverture:
Microsoft publie la mise à jour de sécurité pour le nouvel IE zéro dayChinese sites ont été attaqués pendant une semaine grâce à un nouveau framework PHP bugSQLite bug affecte des milliers d’applications, y compris tous les Chrome à base de browsersNew attaque intercepte les frappes de touches via graphique librariesResearcher publie PoC pour les nouvelles Fenêtres zéro dayWatch chercheurs à distance de la brique un serveur en corrompant ses BMC et UEFI firmwareRSA de la Conférence: Cette fois-ci avec plus de femmes CNETWindows 10 utilisateurs doivent attendre pour installer la dernière mise à jour de TechRepublic
Rubriques Connexes:
De sécurité de la TÉLÉVISION
La Gestion Des Données
CXO
Les Centres De Données
0