Польский ИБ-специалист, известный в сети только под псевдонимом Lasq, опубликовал PoC-эксплоит для уязвимости в Facebook. Данная проблема может использоваться для создания полноценного червя, и по данным исследователя, уже эксплуатируется как минимум одной группой спамеров.

Lasq рассказывает, что занялся изучением странной спамерской активности в социальной сети, после того как несколько его друзей в Facebook разместили ссылку на один и тот же сайт со смешными картинками. Перед переходом на сайт пользователя просили подтвердить, что ему уже есть 16.

После клика по предложенной кнопке, пользователя действительно ждал редирект на сайт с обилием смешных картинок и рекламы. Однако после нажатия на эту кнопку такая же ссылка на «прикольный сайт» появлялась и в хронике самого пользователя.

В итоге Lasq  заинтересовал подозрительный iframe, который можно увидеть на иллюстрации ниже. Специалист обнаружил, что проблема уходит корнями к игнорированию хедера X-Frame-Options в мобильной версии Share для диалогов. В нормальной ситуации этот хедер должен использоваться сайтами для предотвращения загрузки кода внутри iframe, что является защитой от кликджекинговых атак.

Изучив документацию Facebook, специалист обнаружил там упоминание специального параметра mobile_iframe, который действительно допускает использование iframe поверх сайта в Share-диалоге. Эта функциональность активна только для мобильной версии.

В итоге, когда Lasq сообщил о своей находке разработчикам Facebook, ему ожидаемо ответили, что всё работает как должно. По словам исследователя, в Facebook отказались рассматривать кликджекинг как уязвимость, пока тот не позволяет повлиять на состояние аккаунта пользователя (например, изменить настройки безопасности или удалить учетную запись).

«Я считаю, что они должны это исправить. Как видите, этой “функцией” очень легко может злоупотребить атакующий, обманом вынудив пользователя Facebook против воли поделиться чем-либо на своей стене. Я даже не могу до конца описать, насколько это может быть опасно. Пока данную технику применяют лишь для распространения спама, но я могу представить куда более сложные варианты ее применения», — пишет специалист, подчеркивая, что так злоумышленники могут создать полноценного червя, распространяющего малварь или ссылки на фишинговые сайты.

При этом представители Facebook сообщили журналистам издания ZDNet, что еще на прошлой неделе они улучшили систему защиты от кликджекинга, независимо от сообщения Lasq. Якобы теперь PoC исследователя более не работает. Предварительно Lasq подтвердил эту информацию в своем блоге, сообщив, что теперь Facebook действительно спрашивает подтверждение перед размещением ссылки на стене, и обойти это ограничение пока не удалось.

Оставить мнение