PoC για Facebook Worm: Ένας Πολωνός ερευνητής ασφάλειας δημοσίευσε σήμερα ένα PoC που θα μπορούσε να χρησιμοποιηθεί για τη δημιουργία ενός πλήρως λειτουργικού Facebook worm.
Ο κώδικας εκμεταλλεύεται ένα κενό ασφαλείας στην πλατφόρμα του Facebook. Ο ερευνητής που χρησιμοποιεί το ψευδώνυμο Lasq, ανακάλυψε την ευπάθεια όταν παρατήρησε ότι την χρησιμοποιούσαν spammers στο Facebook.
Η ευπάθειας βρίσκεται στην έκδοση της εφαρμογής για κινητά. Η έκδοση για υπολογιστές δεν επηρεάζεται.
Ο Lasq αναφέρει ότι η ευπάθεια επιτρέπει clickjacking και ότι ένας εισβολέας μπορεί να την εκμεταλλευτεί μέσω στοιχείων iframe.
Χθες παρατήρησα μια πολύ ενοχλητική εκστρατεία SPAM στο Facebook, όπου πολλοί φίλοι μου δημοσίευαν ένα σύνδεσμο προς ένα site που φιλοξενούνταν σε κάποιο AWS bucket. Υπήρχε και κάποιος σύνδεσμος προς ένα γαλλικό site με αστεία κόμικς.
Αφού κάνατε κλικ στον σύνδεσμο, εμφανιζόταν η σελίδα που φιλοξενούνταν στο AWS bucket, και ζήτούσε να επαληθεύσετε αν είστε 16 ετών ή μεγαλύτερος (στα γαλλικά) για να αποκτήσετε πρόσβαση στο περιεχόμενο. Αφού κάνατε κλικ στο κουμπί, η σελίδα σας προωθούσε σε μια σελίδα με αστεία κόμικ (και πολλές διαφημίσεις). Ωστόσο, στο μεταξύ ο ίδιος σύνδεσμος που μόλις πατήσατε δημοσίευσε αυτόματα και στον τοίχο σας στο Facebook.
Ο ερευνητής παρακολούθησε το θέμα και πρόσεξε ότι αγνοούσε εντελώς το header ασφαλείας “X-Frame-Options.” Το header αυτό χρησιμοποιείται από ιστότοπους για να αποτρέπεται την φόρτωση του κώδικα της σελίδας μέσα από iframes και αποτελεί πρωταρχική προστασία για επιθέσεις clickjacking.
Ο Lasq ανέφερε ότι ανακοίνωσε το πρόβλημα στο Facebook, αλλά η εταιρεία αρνήθηκε να το διορθώσει. Έτσι αποφάσισε να δημοσιεύσει το PoC.
Ο κώδικας του Lasq δεν συμπεριλαμβάνει το τμήμα του clickjacking, αυτό που δημοσιεύει περιεχόμενο στους τοίχους των θυμάτων, αλλά αν σας ενδιαφέρει και θέλετε να το βρείτε υπάρχει στο διαδίκτυο με μια απλή αναζήτηση. Ο κώδικας του Lasq επιτρέπει μόνο σε έναν εισβολέα να φορτώσει και να εκτελέσει μη εξουσιοδοτημένο κώδικα σε κάποιο λογαριασμό χρήστη του Facebook.
_____________
- Παλιά μηνύματα στο Faceboοk επιστρέφουν τυχαία σε χρήστες
- LibreOffice 6.1.4 νέα έκδοση από το Document Foundation
- Faceboοk Έρευνα από την DPC για τις φωτογραφίες που διέρρευσαν
- Faceboοk two-factor authentication χωρίς τηλεφωνικό αριθμό