2018 No ha sido fácil en Facebook. La plataforma social ha sido a través de algunas violaciones de datos y de seguridad dramáticos que afectan a millones de sus usuarios. Facebook también experimentó varias gotas en el mercado de valores.
Es interesante observar que mayor caída de Facebook del año se produjo de julio 26, un día después de golpear su pico de $217.50.
Clickjacking error en la versión móvil de Facebook de Intercambio de Pop-Up Descubierto
Además de los escándalos de privacidad, Facebook también ha sido blanco de los actores de amenaza, con campañas de malware explotando con éxito la red y sus usuarios. Para colmo de todo lo que fuera, un investigador de seguridad conocido como Lasq acaba de publicar un código de prueba de concepto sobre la creación de un gusano totalmente funcional Facebook. El código PoC se basa en una vulnerabilidad de seguridad específica que reside en la versión móvil del Facebook compartir emergente. Afortunadamente, la versión de escritorio de la plataforma no se ve afectada.
De acuerdo con el investigador, existe una vulnerabilidad clickjacking en el diálogo intercambio móvil que puede ser explotado a través de elementos de marco flotante. Es importante tener en cuenta que la falla ha sido objeto de abusos en los ataques en tiempo real por un grupo de hackers que distribuye el correo no deseado. El grupo ha estado publicando enlaces de spam en las paredes de los usuarios de Facebook.
Lasq escribió sobre “esta campaña de spam muy molesto en Facebook, donde muchos de mis amigos publicó un enlace a lo que parecía un sitio alojado en AWS cubo”en una entrada de blog. El enlace fue a un sitio francés con los cómics, agregó. Lo que sucedió después?
Después de hacer clic en el enlace, el sitio alojado en AWS cubo apareció. Se le pidió que verificar si está 16 o mayor (en francés) con el fin de acceder al contenido restringido. Después de hacer clic en el botón, que eran de hecho redirigido a una página con cómica divertida (y una gran cantidad de anuncios). Sin embargo, mientras tanto, el mismo enlace que acaba de hacer clic apareció en su muro de Facebook.
Lasq cree que todo esto es posible porque Facebook es ignorar la cabecera de seguridad Opciones-F-marco para el diálogo compartir móvil. Esta cabecera es utilizada por sitios web para evitar su código se cargue dentro de marcos flotantes. Esto sirve como una protección crucial contra los ataques de clickjacking.
El investigador de hecho vio una etiqueta iframe sospechosa, cual "olía a clickjacking". El marco condujo a otra página alojada AWS, que dio lugar a otro lo que finalmente condujo a una URL de Facebook. Lasq contacto con Facebook para informarles sobre el problema, pero se negó a hacerle frente:
Como era de esperar Facebook declinó el tema, a pesar de mí tratando de subrayar que esta ha declarado que la seguridad implications.They para el clickjacking para ser considerado un problema de seguridad, debe permitir atacante para cambiar de alguna manera el estado de la cuenta (Así, por ejemplo desactivar las opciones de seguridad, o eliminar la cuenta).
Lasq, Por otra parte, cree que Facebook debería tomar en serio este problema y debe emitir un parche, porque el "característica puede ser muy fácilmente abusado por un atacante para engañar a los usuarios de Facebook para compartir algo de mala gana en su pared". La técnica se puede abusar de muchas otras maneras, no sólo para la distribución de correo no deseado, el investigador destacó. Esto puede ser explotado para realizar malware y phishing campañas libre propagación entregados a través de mensajes de spam.