セキュリティの専門家は、悪意のあるユーザーがソーシャルネットワークから機密ユーザーデータを乗っ取ることができる新しいFacebookのバグを発見しました. 概念実証のデモンストレーションによると、この問題により、ハッカーはブラウザのリクエストを介してサービスの弱点を悪用することができます。. この問題は、セキュリティチームがバグを解決しているFacebookに開示されました.
新たに発表されたFacebookのバグにより、ハッカーは個人データを乗っ取ることができます
最近公開された 発表 Facebookのセキュリティに関して、ソーシャルネットワークで新しい脆弱性が特定されたと警告しました. 懸念の原因は Webページのコード内にあります —特定のHTMLが含まれていました iframe ユーザーを追跡するために使用される要素. これらはサイトの重要な部分であり、Webサービス全体で呼び出し機能も使用します. さらに分析すると、問題が発見されました. その結果、概念実証攻撃のシナリオが明らかになりました:
- Facebookの検索エンジンは、ユーザーの検索クエリから必要な値が入力されたGETリクエストを想定しています。. クロスサイトリクエストフォージェリから保護されていないことが判明しました.
- Facebookユーザーはだまされて悪意のあるサイトを開き、その任意の領域で対話します. これは、JavaScriptスクリプトを実行するために必要です.
- これにより、Facebook検索ページと対話するポップアップまたは新しいタブインスタンスが開きます.
- 悪意のあるスクリプトは、この機能を介してアクセスできる情報を取得するために要求を操作する可能性があります.
検索結果の結果として、悪意のあるオペレーターは両方に関する情報を取得できます。 ユーザー およびその他 友達リストの連絡先. セキュリティ研究者は次のように述べています モバイルユーザーが最も影響を受けます 開いているタブやその他の要素はバックグラウンドで簡単に無視できるため. これにより、被害者が他のアクションを実行しているときに、ハッカーが複数のクエリを同時に実行できるようになります.
Facebookは常にさまざまなハッキング集団の標的にされており、創造的な方法を使用していることを読者に思い出させます. 最近の例は [wplinkpreview url =”https://Sensorstechforum.com/facebook-friend-request-forwarding-scam-attacks-users-data/”]Facebookの友達リクエスト転送詐欺 これはまだ世界中の犯罪集団によって積極的に使用されています. Facebookへのタイムリーなプライベートバグ開示のため、彼らのセキュリティチームは問題の解決に取り組んでいます .