Image: PexelsLes chercheurs en sécurité de l'information ont
découvert une vulnérabilité dans le réseau social Facebook - cette erreur pourrait entraîner des fuites d'informations confidentielles sur les utilisateurs et leurs amis. Une erreur a été détectée dans la fonction de recherche sur les réseaux sociaux.
Quel est le problème
Selon le chercheur Ron Masas d'Imperva, la page qui affiche les résultats de la recherche comprend des éléments iFrame liés aux résultats de la recherche. Les URL finales de ces iFrames ne sont en aucun cas protégées contre la falsification de requêtes intersites, les attaques CSRF).
Pour exploiter une vulnérabilité, un attaquant doit inciter les utilisateurs à visiter un site spécial. Il est important que l'utilisateur soit connecté à son profil Facebook. Tout clic sur une page Web en arrière-plan exécutera du code JavaScript. Ce code ouvre un nouvel onglet avec l'URL Facebook, dans lequel une requête prédéterminée est exécutée afin d'obtenir les informations nécessaires à l'attaquant.
Cette attaque peut être utilisée à la fois pour rechercher des informations telles que «photo de vacances» et pour extraire des données plus sensibles, notamment:
- l'utilisateur a des amis avec un nom ou un mot-clé spécifique dans le nom du profil;
- quelles pages l'utilisateur aime et à quels groupes il appartient;
- At-il des amis qui suivent une page spécifique?
- la présence de photos de certains endroits ou pays;
- Indique si l'utilisateur a publié des articles contenant des mots clés spécifiques
- At-il des amis d'une religion particulière?
- etc.
Ainsi, la vulnérabilité divulgue des données utilisateur sensibles même si elles définissent des paramètres de confidentialité qui interdisent la divulgation de ces informations à des tiers.
Le processus peut être répété plusieurs fois sans avoir à ouvrir de nouveaux onglets. En conséquence, cette attaque représente le plus grand danger pour les utilisateurs mobiles - il leur est plus difficile de suivre l'ouverture de nouveaux onglets.
Comment se protéger
Les chercheurs se sont tournés vers Facebook, et la société a déjà corrigé la vulnérabilité. Les ingénieurs des réseaux sociaux ont ajouté une protection contre les attaques CSRF.
Lorsque le développement est mis en service en raison de la forte demande de services et de produits, de plus en plus de développeurs introduisent des processus d'intégration et de livraison continues (CI / CD). La sécurité du logiciel en cours de développement fait partie intégrante de CI / CD. Il est particulièrement important d'identifier avec précision et d'éliminer les vulnérabilités. Cependant, dans la pratique, tout n'est pas si simple.
Beaucoup de gens croient à tort que l'analyse de la qualité du code suffit pour vérifier le logiciel, y compris pour les risques de sécurité. Et ceux qui comprennent que ce n'est pas le cas et recourent à des outils d'analyse de sécurité sont confrontés au problème de la vérification des vulnérabilités. Elle est généralement effectuée manuellement, et compte tenu du fait que le nombre de vulnérabilités peut atteindre des centaines et des milliers, l'efficacité du processus CI / CD et la faisabilité de son support s'avèrent être une grande question.
Le jeudi 22 novembre à 14 h 00 , Alexey Zhukov, un expert du département de sécurité des applications de Positive Technologies, tiendra un webinaire gratuit. Dans son cours, vous apprendrez à vous assurer que dans les processus continus, les gros volumes et les délais de gravure, les défauts de sécurité ne passent pas inaperçus et leur vérification ne devient pas un goulot d'étranglement. Alexey expliquera comment automatiser de manière compétente le processus de sécurité des logiciels et augmenter l'efficacité des tâches de base. Le webinaire sera utile pour les développeurs et les spécialistes DevOps.
Pour participer au webinaire, vous devez vous inscrire .