Vi alle elsker Facebook, men gør vi ved, hvor sikkert det er? Tilsyneladende, ikke så sikker som det skal være, som afsløret af den uafhængige sikkerhedsforsker Jack Whitton også kendt som fin1te. Den britiske forsker offentliggjorde netop en utrolig historie, der involverede en XSS-bug (cross-site-scripting) og Facebooks indholdsleveringsnetværk.
Forskeren rapporterede om bugten tilbage i juli 2015 men blev ikke offentliggjort kun for få dage siden.
Hvorfor er XSS-bugs farlige?
Hvad er en XSS-sårbarhed? En XSS-drevne angreb finder sted, når ondsindede aktører gennemfører ondsindede scripts til legitime websteder. En XSS sårbarhed udnyttes, når du, for eksempel, sende en hjemmeside indhold, der indeholder indlejrede ondsindet JavaScript. Hjemmesiden vil senere omfatte koden i sit svar.
Hver gang et websted viser noget indhold, der kommer fra en anden kilde (såsom en uploadet fil eller inkluderet i en URL-adresse), webstedet skal filtrere mistænkelige tegn ud. Husk, at sådanne tegn normalt inkluderer parenteser og < > tegn. Sådanne tegn bruges til at betegne dele af en side, der skal styres som billeder, links, scripts, etc.
XSS Bug i Photos.Facebook.com
Hvad fandt fin1te? Forskeren fandt en måde at oprette en URL på fotos.facebook.com, omdirigeret for at tildele sin specielt udformede fil fra indholdsleveringsnetværket (CDN). Med andre ord, det lykkedes ham at uploade et skjult script til CDN, og hente det ved hjælp af et uskyldigt maskeret link.
Når en bruger har klikket på den, scriptet kørte i browseren, som om det var et officielt Facebook-script. Hvis brugeren er logget ind, det udformede script kunne gøre næsten alt, hvad brugeren ville gøre - sende meddelelser, billeder, få adgang til private data, etc.
At have i tankerne, hvordan et socialt netværk fungerer, sådanne scripts kunne let blive virale, i et negativt aspekt. Derfor kan et angreb, der involverer en XSS-bug, kaldes en ormlignende trussel. Det kan implementeres for automatisk at sprede sig over ethvert netværk, og dermed blive til en netværksorm eller virus.
XSS-fejlen blev løst næsten umiddelbart efter, at forskeren rapporterede det til Facebook. Ikke desto mindre, han ventede et halvt år på at offentliggøre det, så sikkerhedsingeniører fra Facebook har tid nok til at implementere en bedre løsning. Han blev tildelt $7500.