Um grupo já está abusando desse problema postando spam nas paredes dos usuários
No final de dezembro, um pesquisador de segurança polonês publicou detalhes e um exemplo de código funcional que pode ser usado para criar um worm com todos os recursos necessários para o Facebook.
Esse código explora a vulnerabilidade da plataforma do Facebook, que foi abusada por um grupo de spammers por um pesquisador polonês usando o apelido
Lasq na Internet. A vulnerabilidade está oculta na versão móvel de uma caixa de diálogo pop-up que oferece o compartilhamento de informações com outros usuários. Não existe essa vulnerabilidade na área de trabalho.
Lasq diz que existe uma vulnerabilidade de clickjacking na versão móvel da caixa de diálogo "compartilhamento", que o invasor usa através de iframes. Um grupo de spammers que aparentemente descobriu essa vulnerabilidade antes do Lasq a usar para postar links para usuários do Facebook.
Como
Lasq explicou :
Ontem, ocorreu uma campanha de spam muito irritante no Facebook, durante a qual muitos de meus amigos postaram um link que abriu um site hospedado na AWS. Era algum tipo de site francês com quadrinhos de comédia - então quem não clicaria neste link?
E depois de clicar no link, um site hospedado na AWS apareceu. Ele pediu para confirmar que você tem mais de 16 anos (em francês) para acessar o conteúdo. Depois de clicar no botão, você realmente foi redirecionado para uma página com uma história em quadrinhos e vários anúncios. Mas, ao mesmo tempo, o link em que você clicou apareceu no seu mural do Facebook.
O pesquisador disse que chegou ao fundo do problema e que o Facebook ignora o cabeçalho X-Frame-Options na caixa de diálogo "compartilhar" na versão móvel. De acordo com
a documentação MDN aprovada pela indústria da Web, esse cabeçalho é usado pelos sites para impedir que o código seja carregado dentro de um iframe e é a principal proteção contra o clickjacking.
Lasq disse que relatou o problema no Facebook, mas a empresa se recusou a corrigi-lo.
"Como esperado, o Facebook não considerou isso um problema, apesar de eu tentar explicar quais implicações de segurança ele tem", disse ele. "Eles disseram que, para considerar o clickjacking de um problema de segurança, um invasor deve poder alterar o estado da conta (por exemplo, desativar as configurações de segurança ou excluir a conta)".
"Na minha opinião, eles deveriam consertar", acrescentou o pesquisador. - Como você pode ver, será extremamente fácil para um invasor abusar desse "recurso", fazendo com que os usuários compartilhem algo na parede. É impossível exagerar o perigo de tal oportunidade. Hoje é usado para spam, mas posso facilmente imaginar opções mais complexas para usar essa tecnologia. ”
O pesquisador afirma que essa técnica permite que os invasores criem mensagens de propagação automática que contêm links para sites maliciosos ou de phishing.
Em resposta a um apelo do ZDNet, o Facebook disse que não via isso como um problema, como foi o caso do Lasq.
"Somos gratos pelas informações recebidas deste pesquisador e, no momento, começamos a trabalhar nessa questão", disse um porta-voz do Facebook. "Criamos a possibilidade de aparecer uma versão móvel da caixa de diálogo" compartilhar "no iframe, para que as pessoas possam usá-la em sites de terceiros."
“Para evitar o abuso desse recurso, usamos sistemas de detecção de clickjacking para todos os produtos incorporados em iframes. Estamos constantemente aprimorando esses sistemas com base nos sinais recebidos, disse o Facebook. "Independentemente deste relatório, esta semana já melhoramos o sistema de detecção de clickjacking que nega os riscos descritos no relatório do pesquisador".
O código Lasq não continha uma parte diretamente relacionada ao clickjacking, que publica mensagens nas paredes dos usuários, mas uma simples pesquisa na Internet fornece a qualquer invasor todos os detalhes e códigos de amostra necessários para criá-lo e adicioná-lo ao exemplo publicado. O código do Lasq permite que um invasor baixe e execute códigos não autorizados de terceiros em uma conta de usuário do Facebook.