2018 har ikke været let på Facebook. Den sociale platform har været igennem nogle dramatiske data og brud på sikkerheden, der er ramt millioner af sine brugere. Facebook oplevede også flere dråber på børsen.
Det er interessant at bemærke, at Facebooks største fald af året opstod på juli 26, en dag efter at ramme sit højdepunkt af $217.50.
Clickjacking Bug i den mobile version af Facebooks Deling Pop-Up Opdaget
Ud over behandling af personlige skandaler, Facebook er også blevet ramt af trussel aktører, med malware kampagner med succes at udnytte netværket og dets brugere. Oven alt det off, en sikkerhed forsker kaldet Lasq har netop offentliggjort et proof-of-concept-kode om at skabe en fuldt funktionel Facebook orm. Den PoC kode er baseret på en specifik sikkerhedsbrist bopæl i den mobile version af Facebook-deling pop-up. Heldigvis, desktop-versionen af platformen er ikke påvirket.
Ifølge forskeren, en clickjacking sårbarhed i den mobile deling dialog, der kan udnyttes via iframe elementer. Det er vigtigt at bemærke, at fejlen er blevet misbrugt i realtid angreb af en gruppe hackere, der distribuerer spam. Gruppen har været udstationering spam links på væggene i Facebook-brugere.
Lasq skrev om ”dette meget irriterende SPAM kampagne på Facebook, hvor en masse af mine venner offentliggjorde et link til, hvad der virkede som et site hostes på AWS spand”i et blogindlæg. Linket var til et fransk site med tegneserier, han tilføjede. Hvad skete der så?
Når du har klikket på linket, sitet hostet på AWS spand optrådte. Det bad dig om at kontrollere, om du er 16 eller ældre (på fransk) For at få adgang til begrænsede indhold. Når du har klikket på knappen, du var faktisk omdirigeret til en side med sjove tegneserie (og en masse annoncer). Men i mellemtiden samme link, du netop har klikket optrådte på din Facebook-væg.
Lasq mener, at alt dette er muligt, fordi Facebook er at ignorere F-Frame-Options sikkerhed header for den mobile dialog deling. Denne overskrift bruges af hjemmesider til at forhindre deres kode bliver indlæst inde iframes. Dette tjener som et afgørende beskyttelse mod klik-kaprings angreb.
Forskeren faktisk spottet en mistænkelig iframe-tag, hvilken "lugtede af clickjacking". Rammen førte til en anden AWS hosted side, som førte til en anden, som til sidst førte til en Facebook-url. Lasq kontaktede Facebook for at informere dem om problemet, men de afviste at løse det:
Som forventet faldt Facebook problemet, trods mig at forsøge at understrege, at dette har sikkerhed implications.They udtalt, at for clickjacking at blive betragtet som et sikkerhedsproblem, Det skal gøre det muligt for hackeren at en eller anden måde ændre status for kontoen (så for eksempel deaktivere sikkerhedsindstillinger, eller fjerne kontoen).
Lasq, på den anden side, mener, at Facebook bør tage problemet alvorligt og bør udstede en patch, fordi "Funktionen kan ekstremt nemt misbruges af en angriber at narre Facebook-brugere til ufrivilligt at dele noget på deres væg". Teknikken kan misbruges på mange andre måder, ikke kun til distribution af spam, forskeren understregede. Dette kan udnyttes til at udføre selvpropagerende malware og phishing kampagner leveret via spam-beskeder.