一个小组已经通过在用户的墙上张贴垃圾邮件来滥用此问题
12月底,一名波兰安全研究人员发布了详细信息和一个工作代码示例,该代码可用于创建具有Facebook的所有必需功能的蠕虫。
该代码利用了Facebook平台的漏洞,该漏洞被波兰研究人员在互联网上使用
Lasq昵称的一群垃圾邮件发送者所滥用。 该漏洞隐藏在弹出对话框的移动版本中,该弹出对话框可与其他用户共享信息。 桌面上没有此类漏洞。
Lasq说,移动版“共享”对话框中存在一个点击劫持漏洞,攻击者通过iframe使用该漏洞。 一群垃圾邮件发送者显然是在Lasq使用此漏洞发布指向Facebook用户的链接之前发现此漏洞的。
正如
Lasq解释的那样 :
昨天,Facebook上发生了一个非常烦人的垃圾邮件活动,在此期间,我的许多朋友发布了一个链接,该链接打开了一个托管在AWS上的网站。 这是一种带有喜剧漫画的法语网站-那么谁不会点击此链接?
然后,单击链接后,将出现一个托管在AWS上的站点。 他要求您确认您已经年满16岁(法语)才能访问内容。 单击按钮后,您实际上已重定向到包含漫画书和大量广告的页面。 但同时,您单击的链接出现在您的Facebook墙上。
研究人员说,他已经找到问题的根源,那就是Facebook忽略了移动版本“共享”对话框中的X-Frame-Options标头。 根据网络行业认可的
MDN文档 ,网站使用此标头来防止其代码加载到iframe中,并且是防止点击劫持的主要保护措施。
Lasq表示已在Facebook上报告了此问题,但该公司拒绝修复。
他说:“不出所料,尽管我试图解释它有什么安全隐患,但Facebook并没有考虑到这个问题。” “他们说,为了考虑点击劫持是一个安全问题,攻击者应该能够更改帐户的状态(例如,禁用安全设置或删除帐户)。”
“在我看来,他们应该修复它,”研究人员补充说。 -如您所见,攻击者通过诱骗用户在墙上共享内容,非常容易滥用此“功能”。 不可能夸大这种机会的危险。 今天,它被用于垃圾邮件,但我可以轻松想象使用这种技术的更复杂的选择。”
研究人员声称,该技术使攻击者能够创建自我传播的消息,其中包含指向恶意或网络钓鱼站点的链接。
在回应ZDNet的上诉时,Facebook表示他们不认为这是一个问题,就像Lasq那样。
一位Facebook发言人说:“我们很高兴收到该研究人员提供的信息,目前我们已着手对此问题进行研究。” “我们已经在iframe中内置了“共享”对话框的移动版本的外观,以便人们可以在第三方网站上使用它。”
“为防止滥用此功能,我们对内嵌在iframe中的所有产品使用了点击劫持检测系统。 Facebook告诉我们,我们正在根据收到的信号不断改进这些系统。 “不管这份报告如何,本周我们都已经改进了点击劫持检测系统,该系统可以消除研究人员报告中所述的风险。”
Lasq代码不包含与Clickjacking直接相关的部分,该部分将消息发布在用户的墙上,但是在Internet上进行简单的搜索将为任何攻击者提供创建它并将其添加到已发布示例中所需的所有详细信息和示例代码。 来自Lasq的代码允许攻击者以Facebook用户帐户下载和运行第三方未授权代码。