2018 Facebookでは簡単ではありませんでした. ソーシャルプラットフォームは、何百万ものユーザーに影響を与えたいくつかの劇的なデータとセキュリティ違反を経験してきました. Facebookも株式市場で数回の落ち込みを経験した.
興味深いことに注意してください Facebookの最大のドロップ 今年の7月に発生しました 26, ピークに達した翌日 $217.50.
Facebookの共有ポップアップのモバイル版でクリックジャッキングのバグが発見されました
プライバシースキャンダルに加えて, Facebookも脅威アクターの標的にされています, マルウェアキャンペーンでネットワークとそのユーザーを悪用することに成功しました. それに加えて, Lasqとして知られるセキュリティ研究者が、完全に機能するFacebookワームの作成に関する概念実証コードを公開しました。. PoCコードは、モバイル版のFacebook共有ポップアップに存在する特定のセキュリティの脆弱性に基づいています。. 幸運, プラットフォームのデスクトップバージョンは影響を受けません.
研究者によると, クリックジャッキングの脆弱性がモバイル共有ダイアログに存在し、iframe要素を介して悪用される可能性があります. この欠陥は、スパムを配布するハッカーのグループによるリアルタイムの攻撃で悪用されていることに注意することが重要です。. このグループはFacebookユーザーの壁にスパムリンクを投稿しています.
Lasqは次のように書いています。Facebookでのこの非常に迷惑なスパムキャンペーン, 多くの友人がAWSバケットでホストされているサイトのように見えるものへのリンクを公開しました" の ブログ投稿. リンクは漫画のあるフランスのサイトへのリンクでした, 彼が追加した. 次に何が起こったのか?
リンクをクリックした後, AWSバケットでホストされているサイトが表示されました. それはあなたが 16 以上 (フランス語で) 制限されたコンテンツにアクセスするため. ボタンをクリックした後, あなたは確かに面白い漫画のページにリダイレクトされました (とたくさんの広告). ただし、その間、クリックしたのと同じリンクがFacebookのウォールに表示されました.
Lasqは、Facebookがモバイル共有ダイアログのF-Frame-Optionsセキュリティヘッダーを無視しているため、これがすべて可能であると考えています。. このヘッダーは、ウェブサイトがコードがiframe内に読み込まれないようにするために使用されます. これは、クリックジャッキング攻撃に対する重要な保護として機能します.
研究者は確かに疑わしいiframeタグを見つけました, どれの "クリックジャッキングのにおいがする」. フレームは別のAWSホストページにつながりました, それは最終的にFacebookのURLにつながった別のものにつながりました. LasqはFacebookに連絡して問題について知らせましたが、彼らはそれに対処することを拒否しました:
予想通り、Facebookは問題を拒否しました, これにはセキュリティ上の影響があることを強調しようとしているにもかかわらず、クリックジャッキングはセキュリティの問題と見なされると彼らは述べました, 攻撃者が何らかの方法でアカウントの状態を変更できるようにする必要があります (たとえば、セキュリティオプションを無効にします, またはアカウントを削除します).
ラスク, 一方で, Facebookはこの問題を真剣に受け止め、パッチを発行する必要があると考えています, なぜなら "攻撃者がこの機能を非常に簡単に悪用して、Facebookユーザーをだまして壁に何かを不本意に共有させる可能性があります」. この手法は他の多くの方法で悪用される可能性があります, スパムの配布だけでなく, 研究者は強調した. これを悪用して、スパムメッセージを介して配信される自己増殖型マルウェアおよびフィッシングキャンペーンを実行できます。.
ミレーナ・ディミトロワ
プロジェクトの開始以来SensorsTechForumに所属しているインスピレーションを得たライター兼コンテンツマネージャー. の専門家 10+ 魅力的なコンテンツの作成における長年の経験. ユーザーのプライバシーとマルウェア開発に焦点を当てています, 彼女はサイバーセキュリティが中心的な役割を果たす世界を強く信じています. 常識が意味をなさない場合, 彼女はメモを取るためにそこにいます. それらのメモは後で記事になる可能性があります! Milena@Milenyimをフォローする
フォローしてください: