Un grupo ya está abusando de este problema al publicar spam en los muros de los usuarios
A finales de diciembre, un investigador de seguridad polaco publicó detalles y un ejemplo de un código de trabajo que se puede utilizar para crear un gusano con todas las funciones necesarias para Facebook.
Este código explota la vulnerabilidad de la plataforma de Facebook, que fue abusada por un grupo de spammers por un investigador polaco que usa el apodo de
Lasq en Internet. La vulnerabilidad está oculta en la versión móvil de un cuadro de diálogo emergente que ofrece compartir información con otros usuarios. No existe tal vulnerabilidad en el escritorio.
Lasq dice que existe una vulnerabilidad de clickjacking en la versión móvil del cuadro de diálogo "compartir", que el atacante utiliza a través de iframes. Un grupo de spammers que aparentemente descubrieron esta vulnerabilidad antes de que Lasq la usara para publicar enlaces a usuarios de Facebook.
Como
explicó Lasq :
Ayer, una campaña de spam muy molesta tuvo lugar en Facebook, durante la cual muchos de mis amigos publicaron un enlace que abrió un sitio alojado en AWS. Era una especie de sitio francés con cómics de comedia, entonces, ¿quién no haría clic en este enlace?
Y después de hacer clic en el enlace, apareció un sitio alojado en AWS. Le pidió que confirme que tiene más de 16 años (en francés) para acceder al contenido. Después de hacer clic en el botón, realmente fue redirigido a una página con un cómic y un montón de anuncios. Pero al mismo tiempo, el enlace en el que hizo clic apareció en su muro de Facebook.
El investigador dijo que llegó al fondo del problema, y que es que Facebook ignora el encabezado X-Frame-Options en el diálogo "compartir" en la versión móvil. De acuerdo
con la
documentación de MDN aprobada por la industria web, los sitios utilizan este encabezado para evitar que su código se cargue dentro de un iframe, y es la principal protección contra el robo de clics.
Lasq dijo que informó el problema en Facebook, pero la compañía se negó a solucionarlo.
"Como se esperaba, Facebook no consideró esto como un problema, a pesar del hecho de que intenté explicar qué implicaciones de seguridad tiene", dijo. "Dijeron que para considerar el clickjacking como un problema de seguridad, un atacante debería poder cambiar el estado de la cuenta (por ejemplo, deshabilitar la configuración de seguridad o eliminar la cuenta)".
"En mi opinión, deberían arreglarlo", agregó el investigador. - Como puede ver, será extremadamente fácil para un atacante abusar de esta "característica" engañando a los usuarios para que compartan algo en la pared. Es imposible exagerar el peligro de tal oportunidad. Hoy se usa para el correo no deseado, pero puedo imaginar fácilmente opciones más complejas para usar dicha tecnología ".
El investigador afirma que esta técnica permite a los atacantes crear mensajes de autopropagación que contienen enlaces a sitios maliciosos o de phishing.
En respuesta a una apelación de ZDNet, Facebook dijo que no veían esto como un problema, como fue el caso de Lasq.
"Estamos agradecidos por la información recibida de este investigador, y en este momento hemos comenzado a trabajar en este tema", dijo un portavoz de Facebook. "Hemos incorporado la posibilidad de que aparezca una versión móvil del cuadro de diálogo" compartir "en el iframe para que las personas puedan usarlo en sitios web de terceros".
“Para evitar el abuso de esta función, utilizamos sistemas de detección de clickjacking para todos los productos integrados en iframes. Estamos constantemente mejorando estos sistemas basados en las señales recibidas, nos dijo Facebook. "Independientemente de este informe, esta semana ya hemos mejorado el sistema de detección de clickjacking que niega los riesgos descritos en el informe del investigador".
El código de Lasq no contenía una parte directamente relacionada con el clickjacking que publicaba mensajes en los muros de los usuarios, pero una simple búsqueda en Internet proporcionará a cualquier atacante todos los detalles y el código de muestra necesarios para crearlo y agregarlo al ejemplo publicado. El código de Lasq permite a un atacante descargar y ejecutar código no autorizado de terceros en una cuenta de usuario de Facebook.