Опубліковано експлоїт для вразливості Facebook

  • Дата 26/12/2018

Дослідник безпеки, відомий в мережі як Lasq, опублікував PoC-код, який може бути використаний для створення повністю функціонального комп’ютерного хробака для Facebook.

Код експлуатує вразливість в соціальній платформі, що дозволяє публікувати спам на сторінках користувачів. Що цікаво, ця вразливість вже активно використовується спамерами.
Lasq звернув увагу на проблему, коли помітив на сторінках своїх друзів посилання на французький сайт коміксів. При вході користувачеві потрібно підтвердити вік, а потім відкривається сторінка з власне коміксами й великою кількістю рекламних оголошень, при цьому посилання на ресурс публікується на стіні сторінки користувача Facebook.
Вивчаючи вихідний код сторінки сайту, експерт виявив підозрілий iframe, наявність якого могло вказувати на клікджекінг (один з методів хакерів, суть якого полягає в створенні зовні безпечної сторінки в інтернеті, але з впровадженим в неї шкідливим кодом). Копнувши глибше, Lasq з'ясував, що мобільна версія Facebook ігнорує заголовок X-Frame-Options в діалозі загального доступу (в десктопній версії проблема не проявляється), який використовується сайтами для запобігання впровадження коду в iframe, і є одним з основних заходів захисту проти клікджекінга.
Дослідник повідомив про проблему адміністрації Facebook, але в компанії відмовилися розглядати ситуацію як загрозливу. Як пояснили представники платформи, клікджекінг вважається проблемою тільки в випадках, коли зловмисник якимось чином змінює стан облікового запису (наприклад, відключає функції безпеки або видаляє обліковий запис). Однак експерт не згоден з цією точкою зору. За його словами, злочинці можуть скористатися цією можливістю не тільки для розсилки спаму, а й для поширення посилань на шкідливі сайти.

Read 40 times

Підписка на новини

Підпишіться на наші новини, щоб завжди бути в курсі знижок та нових пропозицій!

Контакти

  • м. Луцьк, вул. Ковельська 2, оф. 315

  • +38066 023 70 86+38063 418 22 57
  • Ця електронна адреса захищена від спам-ботів. вам потрібно увімкнути JavaScript, щоб побачити її.

Gross

logo Gross

Відновлення даних. Комп'ютерна криміналістика. e-Discovery

Top