Satu grup sudah menyalahgunakan masalah ini dengan memposting spam di dinding pengguna
Pada akhir Desember, seorang peneliti keamanan Polandia menerbitkan rincian dan contoh kode kerja yang dapat digunakan untuk membuat worm dengan semua fitur yang diperlukan untuk Facebook.
Kode ini mengeksploitasi kerentanan platform Facebook, yang disalahgunakan oleh sekelompok spammer oleh peneliti Polandia menggunakan nama panggilan
Lasq di Internet. Kerentanan disembunyikan dalam versi seluler dari dialog sembulan yang menawarkan untuk berbagi informasi dengan pengguna lain. Tidak ada kerentanan seperti itu di desktop.
Lasq mengatakan bahwa kerentanan clickjacking ada di versi seluler dari dialog "bagikan", yang digunakan penyerang melalui iframe. Sekelompok spammer yang tampaknya menemukan kerentanan ini sebelum Lasq menggunakannya untuk mengirim tautan ke pengguna Facebook.
Seperti yang
dijelaskan Lasq :
Kemarin, kampanye spam yang sangat menjengkelkan terjadi di Facebook, di mana banyak teman saya memposting tautan yang membuka situs yang dihosting di AWS. Itu semacam situs Prancis dengan komik komedi - jadi siapa yang tidak akan mengklik tautan ini?
Dan setelah mengklik tautan tersebut, sebuah situs yang dihosting di AWS muncul. Dia meminta Anda untuk mengonfirmasi bahwa Anda berusia di atas 16 tahun (dalam bahasa Prancis) untuk mengakses konten. Setelah mengklik tombol, Anda benar-benar diarahkan ke halaman dengan buku komik dan banyak iklan. Tetapi pada saat yang sama, tautan yang Anda klik muncul di dinding Facebook Anda.
Peneliti mengatakan bahwa ia sampai pada bagian bawah masalah, dan itu adalah bahwa Facebook mengabaikan header X-Frame-Options dalam dialog "share" di versi mobile. Menurut
dokumentasi MDN yang disetujui industri web, tajuk ini digunakan oleh situs untuk mencegah kode mereka dimuat di dalam iframe, dan merupakan perlindungan utama terhadap clickjacking.
Lasq mengatakan melaporkan masalah tersebut di Facebook, tetapi perusahaan menolak untuk memperbaikinya.
"Seperti yang diharapkan, Facebook tidak menganggap ini masalah, meskipun saya mencoba menjelaskan apa implikasi keamanan yang dimilikinya," katanya. "Mereka mengatakan bahwa untuk mempertimbangkan clickjacking masalah keamanan, penyerang harus dapat mengubah keadaan akun (misalnya, menonaktifkan pengaturan keamanan atau menghapus akun)."
"Menurut saya, mereka harus memperbaikinya," tambah peneliti. - Seperti yang Anda lihat, akan sangat mudah bagi penyerang untuk menyalahgunakan "fitur" ini dengan menipu pengguna agar membagikan sesuatu di dinding. Mustahil untuk melebih-lebihkan bahaya dari kesempatan seperti itu. Hari ini digunakan untuk spam, tetapi saya dapat dengan mudah membayangkan opsi yang lebih kompleks untuk menggunakan teknologi semacam itu. "
Peneliti mengklaim bahwa teknik ini memungkinkan penyerang untuk membuat pesan yang dapat diperbanyak sendiri yang berisi tautan ke situs jahat atau phishing.
Menanggapi banding ZDNet, Facebook mengatakan mereka tidak melihat ini sebagai masalah, seperti halnya dengan Lasq.
"Kami berterima kasih atas informasi yang diterima dari peneliti ini, dan saat ini kami telah mulai mengerjakan masalah ini," kata juru bicara Facebook. "Kami telah membangun kemungkinan munculnya versi seluler dari dialog" bagikan "di iframe sehingga orang dapat menggunakannya di situs web pihak ketiga."
โUntuk mencegah penyalahgunaan fitur ini, kami menggunakan sistem deteksi clickjacking untuk semua produk yang tertanam di iframe. Kami terus meningkatkan sistem ini berdasarkan sinyal yang diterima, kata Facebook kepada kami. "Terlepas dari laporan ini, minggu ini kami telah meningkatkan sistem deteksi clickjacking yang meniadakan risiko yang dijelaskan dalam laporan peneliti."
Kode Lasq tidak berisi bagian yang berhubungan langsung dengan clickjacking yang memposting pesan di dinding pengguna, tetapi pencarian sederhana di Internet akan memberikan penyerang semua detail dan kode sampel yang diperlukan untuk membuatnya dan menambahkannya ke contoh yang dipublikasikan. Kode dari Lasq memungkinkan penyerang mengunduh dan menjalankan kode pihak ketiga yang tidak sah dalam akun pengguna Facebook.