2018 n'a pas été facile sur Facebook. La plate-forme sociale a été par des violations de données dramatiques et de sécurité qui ont affecté des millions de ses utilisateurs. Facebook a également enregistré quelques gouttes sur le marché boursier.
Il est intéressant de noter que Facebook plus forte baisse de l'année a eu lieu le Juillet 26, un jour après atteint son pic de $217.50.
Clickjacking Bug dans la version mobile de partage Pop-Up Facebook Découverte
Outre les scandales de la vie privée, Facebook a également été prise pour cible par les acteurs de la menace, avec des campagnes de logiciels malveillants exploiter avec succès le réseau et ses utilisateurs. Pour couronner le tout ce hors, un chercheur de sécurité connu sous le nom Lasq vient de publier une preuve de concept de code sur la création d'un ver Facebook pleinement fonctionnel. Le code PoC est basé sur une vulnérabilité de sécurité spécifique résidant dans la version mobile du Facebook partage pop-up. Heureusement, la version de bureau de la plate-forme n'est pas affectée.
Selon le chercheur, une vulnérabilité clickjacking existe dans le dialogue de partage mobile qui peut être exploitée par des éléments iFrame. Il est important de noter que la faille a été victime d'abus dans les attaques en temps réel par un groupe de pirates qui distribue le spam. Le groupe a été affichant des liens de spam sur les murs des utilisateurs de Facebook.
Lasq a écrit sur «cette campagne anti-spam très ennuyeux sur Facebook, où beaucoup de mes amis a publié un lien vers ce qui semblait être un site hébergé sur seau AWS" dans un billet de blog. Le lien était à un site français avec la bande dessinée, il ajouta. Qu'est-ce qui est arrivé ensuite?
Une fois que vous avez cliqué sur le lien, le site hébergé sur seau AWS est apparu. Il vous a demandé de vérifier si vous êtes 16 ou plus vieux (en français) afin d'accéder au contenu restreint. Une fois que vous avez cliqué sur le bouton, vous bien redirigé vers une page avec bande dessinée drôle (et beaucoup d'annonces). Toutefois, dans l'intervalle, le même lien que vous venez de cliquer est apparu sur votre mur Facebook.
Lasq estime que tout cela est possible parce que Facebook est en ignorant l'en-tête de sécurité F-options-cadre pour le dialogue de partage mobile. Cet en-tête est utilisé par des sites Web pour empêcher leur code d'être chargé à l'intérieur iframes. Cela constitue une protection essentielle contre les attaques de clickjacking.
Le chercheur en effet repéré une balise iframe suspect, lequel "flairé de clickjacking". Le cadre a conduit à une autre page hébergée AWS, ce qui a conduit à une autre qui a finalement conduit à une url Facebook. Lasq contacté Facebook pour les informer sur le problème, mais ils ont refusé de le résoudre:
Comme prévu Facebook a refusé la question, malgré moi essayant de souligner que ce qui a déclaré que la sécurité implications.They pour la clickjacking soit considérée comme un problème de sécurité, il doit permettre à l'attaquant de changer en quelque sorte l'état du compte (Ainsi, par exemple désactiver les options de sécurité, ou supprimer le compte).
Lasq, d'autre part, estime que Facebook devrait prendre la question au sérieux et devrait publier un correctif, parce que le "fonctionnalité peut être très facilement abusé par un attaquant pour tromper les utilisateurs Facebook de partager quelque chose contre son gré sur leur mur". La technique peut être abusé dans bien d'autres façons, non seulement pour la distribution du courrier indésirable, le chercheur a souligné. Ceci peut être exploité pour exécuter des campagnes de programmes malveillants et le phishing auto-propagation délivrés via des messages de spam.