Eine Gruppe missbraucht dieses Problem bereits, indem sie Spam an den Wänden der Benutzer veröffentlicht
Ein polnischer Sicherheitsforscher veröffentlichte Ende Dezember Details und ein Beispiel für einen Arbeitscode, mit dem ein Wurm mit allen für Facebook erforderlichen Funktionen erstellt werden kann.
Dieser Code nutzt die Sicherheitslücke der Facebook-Plattform aus, die von einer Gruppe von Spammern von einem polnischen Forscher unter Verwendung des Spitznamens
Lasq im Internet missbraucht wurde. Die Sicherheitsanfälligkeit ist in der mobilen Version eines Popup-Dialogfelds verborgen, in dem Informationen mit anderen Benutzern geteilt werden können. Es gibt keine solche Sicherheitsanfälligkeit auf dem Desktop.
Laut Lasq besteht in der mobilen Version des Dialogfelds "Freigeben", das der Angreifer über Iframes verwendet, eine Clickjacking-Sicherheitsanfälligkeit. Eine Gruppe von Spammern, die diese Sicherheitsanfälligkeit offenbar entdeckt haben, bevor Lasq sie verwendet, um Links zu Facebook-Benutzern zu veröffentlichen.
Wie
Lasq erklärte :
Gestern fand auf Facebook eine sehr nervige Spam-Kampagne statt, bei der viele meiner Freunde einen Link gepostet haben, über den eine auf AWS gehostete Website geöffnet wurde. Es war eine Art französische Website mit Comedy-Comics - wer würde also nicht auf diesen Link klicken?
Nach dem Klicken auf den Link wurde eine auf AWS gehostete Site angezeigt. Er hat Sie gebeten, zu bestätigen, dass Sie über 16 Jahre alt sind (auf Französisch), um auf den Inhalt zugreifen zu können. Nachdem Sie auf die Schaltfläche geklickt haben, wurden Sie wirklich zu einer Seite mit einem Comic und einer Reihe von Anzeigen weitergeleitet. Gleichzeitig wurde der Link, auf den Sie geklickt haben, auf Ihrer Facebook-Pinnwand angezeigt.
Der Forscher sagte, er sei dem Problem auf den Grund gegangen, und Facebook ignoriere den X-Frame-Options-Header im Dialogfeld "Teilen" in der mobilen Version. Laut der
von der Webbranche genehmigten
MDN-Dokumentation wird dieser Header von Websites verwendet, um zu verhindern, dass ihr Code in einen Iframe geladen wird, und ist der primäre Schutz gegen Clickjacking.
Lasq sagte, es habe das Problem auf Facebook gemeldet, aber das Unternehmen habe sich geweigert, es zu beheben.
"Wie erwartet hat Facebook dies nicht als Problem angesehen, obwohl ich versucht habe zu erklären, welche Auswirkungen es auf die Sicherheit hat", sagte er. "Sie sagten, dass ein Angreifer in der Lage sein sollte, den Status des Kontos zu ändern, um Clickjacking als Sicherheitsproblem zu betrachten (z. B. Sicherheitseinstellungen deaktivieren oder das Konto löschen)."
"Meiner Meinung nach sollten sie das Problem beheben", fügte der Forscher hinzu. - Wie Sie sehen, ist es für einen Angreifer äußerst einfach, diese „Funktion“ zu missbrauchen, indem er Benutzer dazu verleitet, etwas an der Wand zu teilen. Es ist unmöglich, die Gefahr einer solchen Gelegenheit zu übertreiben. Heute wird es für Spam verwendet, aber ich kann mir leicht komplexere Optionen für die Verwendung solcher Technologien vorstellen. “
Der Forscher behauptet, dass diese Technik es Angreifern ermöglicht, sich selbst verbreitende Nachrichten zu erstellen, die Links zu bösartigen oder Phishing-Sites enthalten.
Als Antwort auf einen Aufruf von ZDNet sagte Facebook, dass dies nicht als Problem angesehen werde, wie dies bei Lasq der Fall war.
"Wir sind dankbar für die Informationen, die dieser Forscher erhalten hat, und im Moment haben wir begonnen, an diesem Thema zu arbeiten", sagte ein Facebook-Sprecher. "Wir haben die Möglichkeit eingebaut, dass im iframe eine mobile Version des Dialogfelds" Teilen "angezeigt wird, damit Benutzer es auf Websites von Drittanbietern verwenden können."
„Um den Missbrauch dieser Funktion zu verhindern, verwenden wir Clickjacking-Erkennungssysteme für alle in iframes eingebetteten Produkte. Wir verbessern diese Systeme ständig basierend auf den empfangenen Signalen, sagte uns Facebook. "Unabhängig von diesem Bericht haben wir diese Woche bereits das Clickjacking-Erkennungssystem verbessert, das die im Bericht des Forschers beschriebenen Risiken negiert."
Der Code von Lasq enthielt nicht den Teil, der in direktem Zusammenhang mit Clickjacking steht und Nachrichten an den Wänden der Benutzer veröffentlicht. Eine einfache Suche im Internet gibt jedem Angreifer jedoch alle Details und Beispielcodes, die zum Erstellen und Hinzufügen zum veröffentlichten Beispiel erforderlich sind. Mit dem Code von Lasq kann ein Angreifer nicht autorisierten Code von Drittanbietern in ein Facebook-Benutzerkonto herunterladen und ausführen.