Un groupe abuse déjà de ce problème en publiant du spam sur les murs des utilisateurs
Fin décembre, un chercheur polonais en sécurité a publié des détails et un exemple de code de travail qui peut être utilisé pour créer un ver avec toutes les fonctionnalités nécessaires pour Facebook.
Ce code exploite la vulnérabilité de la plate-forme Facebook, qui a été utilisée abusivement par un groupe de spammeurs par un chercheur polonais utilisant le surnom
Lasq sur Internet. La vulnérabilité est cachée dans la version mobile d'une boîte de dialogue contextuelle proposant de partager des informations avec d'autres utilisateurs. Il n'y a pas une telle vulnérabilité sur le bureau.
Lasq dit qu'il existe une vulnérabilité de détournement de clics dans la version mobile de la boîte de dialogue de «partage», que l'attaquant utilise via des iframes. Un groupe de spammeurs qui ont apparemment découvert cette vulnérabilité avant que Lasq ne l'utilise pour publier des liens vers les utilisateurs de Facebook.
Comme l'
explique Lasq :
Hier, une campagne de spam très ennuyeuse a eu lieu sur Facebook, au cours de laquelle beaucoup de mes amis ont publié un lien qui ouvrait un site hébergé sur AWS. C'était une sorte de site français avec des bandes dessinées de comédie - alors qui ne cliquerait pas sur ce lien?
Et après avoir cliqué sur le lien, un site hébergé sur AWS est apparu. Il vous a demandé de confirmer que vous avez plus de 16 ans (en français) pour accéder au contenu. Après avoir cliqué sur le bouton, vous avez vraiment été redirigé vers une page avec une bande dessinée et un tas d'annonces. Mais en même temps, le lien sur lequel vous avez cliqué est apparu sur votre mur Facebook.
Le chercheur a déclaré qu'il était allé au fond du problème et que Facebook ignorait l'en-tête X-Frame-Options dans la boîte de dialogue «Partager» dans la version mobile. Selon la
documentation MDN approuvée par l'industrie du Web, cet en-tête est utilisé par les sites pour empêcher leur code d'être chargé dans une iframe, et constitue la principale protection contre le détournement de clics.
Lasq a déclaré avoir signalé le problème sur Facebook, mais la société a refusé de le résoudre.
"Comme prévu, Facebook n'a pas considéré cela comme un problème, malgré le fait que j'aie essayé d'expliquer ses implications en matière de sécurité", a-t-il déclaré. «Ils ont déclaré que pour considérer le détournement de clics comme un problème de sécurité, un attaquant devrait pouvoir modifier l'état du compte (par exemple, désactiver les paramètres de sécurité ou supprimer le compte).»
"À mon avis, ils devraient le réparer", a ajouté le chercheur. - Comme vous pouvez le voir, il sera extrêmement facile pour un attaquant d'abuser de cette «fonctionnalité» en incitant les utilisateurs à partager quelque chose sur le mur. Il est impossible d'exagérer le danger d'une telle opportunité. Aujourd'hui, il est utilisé pour le spam, mais je peux facilement imaginer des options plus complexes pour utiliser une telle technologie. »
Le chercheur affirme que cette technique permet aux attaquants de créer des messages auto-propagatifs contenant des liens vers des sites malveillants ou de phishing.
En réponse à un appel à ZDNet, Facebook a déclaré qu'il ne voyait pas cela comme un problème, comme ce fut le cas avec Lasq.
"Nous sommes reconnaissants des informations reçues de ce chercheur, et pour le moment nous avons commencé à travailler sur cette question", a déclaré un porte-parole de Facebook. "Nous avons intégré la possibilité de l'apparition d'une version mobile de la boîte de dialogue" Partager "dans l'iframe afin que les gens puissent l'utiliser sur des sites Web tiers."
«Pour éviter tout abus de cette fonctionnalité, nous utilisons des systèmes de détection de détournement de clics pour tous les produits intégrés dans les iframes. Nous améliorons constamment ces systèmes en fonction des signaux reçus, nous a expliqué Facebook. "Indépendamment de ce rapport, cette semaine, nous avons déjà amélioré le système de détection de détournement de clics qui annule les risques décrits dans le rapport du chercheur."
Le code Lasq ne contenait pas de partie directement liée au détournement de clic qui publie des messages sur les murs des utilisateurs, mais une simple recherche sur Internet donnera à tout attaquant tous les détails et exemple de code nécessaires pour le créer et l'ajouter à l'exemple publié. Le code de Lasq permet à un attaquant de télécharger et d'exécuter du code tiers non autorisé dans un compte d'utilisateur Facebook.