باحث ينشر مثال عمل رمز الدودة لفيسبوك

تقوم إحدى المجموعات بالفعل بإساءة استخدام هذه المشكلة عن طريق نشر البريد العشوائي على جدران المستخدمين

في نهاية شهر ديسمبر ، نشر باحث أمني بولندي تفاصيل ومثالًا لرمز العمل الذي يمكن استخدامه لإنشاء دودة مع جميع الميزات الضرورية لفيسبوك.

يستغل هذا الكود ثغرة نظام Facebook ، والذي تم إساءة استخدامه بواسطة مجموعة من مرسلي البريد العشوائي من قِبل باحث بولندي يستخدم اللقب Lasq على الإنترنت. يتم إخفاء مشكلة عدم الحصانة في إصدار الهاتف المحمول من مربع حوار منبثق يقدم لمشاركة المعلومات مع المستخدمين الآخرين. لا يوجد مثل هذا الضعف على سطح المكتب.

يقول Lasq أن هناك ثغرة أمنية في النقر بالضغط موجودة في النسخة المحمولة من مربع حوار "المشاركة" ، والذي يستخدمه المهاجم من خلال iframe. مجموعة من مرسلي البريد العشوائي الذين اكتشفوا هذه الثغرة الأمنية قبل استخدام Lasq لنشر روابط لمستخدمي Facebook.

كما أوضح Lasq :

بالأمس ، جرت حملة مزعجة للغاية على Facebook ، نشر خلالها العديد من أصدقائي رابطًا فتح موقعًا مستضافًا على AWS. كان موقعًا فرنسيًا نوعًا ما به كاريكاتير كوميدي - لذا فمن الذي لن ينقر على هذا الرابط؟
وبعد النقر على الرابط ، ظهر موقع مستضاف على AWS. طلب منك تأكيد أنك تجاوزت سن 16 عامًا (باللغة الفرنسية) من أجل الوصول إلى المحتوى. بعد النقر فوق الزر ، تمت إعادة توجيهك فعليًا إلى صفحة بها كتاب هزلي ومجموعة من الإعلانات. ولكن في الوقت نفسه ، ظهر الرابط الذي نقرت عليه على حائط Facebook الخاص بك.

قال الباحث إنه وصل إلى أسفل المشكلة ، وأن Facebook يتجاهل رأس X-Frame-Options في مربع حوار "المشاركة" في نسخة الجوال. وفقًا لوثائق MDN المعتمدة من قبل صناعة الويب ، يتم استخدام هذا الرأس من قبل المواقع لمنع تحميل الكود الخاص بهم داخل إطار iframe ، وهو الحماية الأساسية ضد النقر.

قالت Lasq إنها أبلغت عن المشكلة على Facebook ، لكن الشركة رفضت حلها.

"كما كان متوقعًا ، لم يعتبر Facebook هذه المشكلة ، على الرغم من أنني حاولت شرح الآثار الأمنية المترتبة عليها" ، قال. "قالوا إنه من أجل التفكير في النقر على مشكلة أمنية ، يجب أن يكون المهاجم قادرًا على تغيير حالة الحساب (على سبيل المثال ، تعطيل إعدادات الأمان أو حذف الحساب)."

وأضاف الباحث "في رأيي ، ينبغي عليهم إصلاحها". - كما ترون ، سيكون من السهل للغاية على المهاجم استغلال هذه "الميزة" عن طريق خداع المستخدمين للمشاركة في شيء ما على الحائط. من المستحيل المبالغة في خطر هذه الفرصة. يتم استخدامه اليوم للرسائل غير المرغوب فيها ، لكن يمكنني بسهولة تخيل خيارات أكثر تعقيدًا لاستخدام هذه التكنولوجيا. "

يدعي الباحث أن هذه التقنية تسمح للمهاجمين بإنشاء رسائل ذاتية الانتشار تحتوي على روابط لمواقع خبيثة أو مخادعة.

رداً على نداء ZDNet ، قال Facebook أنهم لم يروا هذا مشكلة ، كما كان الحال مع Lasq.

"نحن ممتنون للمعلومات التي وردت من هذا الباحث ، وفي الوقت الحالي بدأنا العمل على هذه المسألة" ، قال متحدث باسم Facebook. "لقد قمنا ببناء إمكانية ظهور نسخة محمولة من مربع حوار" المشاركة "في iframe حتى يتمكن الأشخاص من استخدامه على مواقع ويب تابعة لجهات خارجية."

"لمنع إساءة استخدام هذه الميزة ، نستخدم أنظمة الكشف عن النقر على جميع المنتجات المضمنة في iframe. نحن نعمل باستمرار على تحسين هذه الأنظمة بناءً على الإشارات المستلمة ، كما أخبرنا Facebook. "بغض النظر عن هذا التقرير ، قمنا بالفعل هذا الأسبوع بتحسين نظام الكشف عن نقر الجرات الذي ينفي المخاطر الموصوفة في تقرير الباحث".

لا يحتوي رمز Lasq على جزء يرتبط مباشرة بـ clickjacking الذي ينشر الرسائل على جدران المستخدمين ، ولكن البحث البسيط على الإنترنت سيعطي أي مهاجم كل التفاصيل ونموذج التعليمة البرمجية اللازمة لإنشائه وإضافته إلى المثال المنشور. يسمح الرمز من Lasq للمهاجم بتنزيل وتشغيل تعليمات برمجية غير مصرح بها من جهة خارجية في حساب مستخدم على Facebook.