Todos nós amamos o Facebook, mas sabemos como é seguro? Pelo visto, não é tão seguro quanto deveria, conforme divulgado pelo pesquisador de segurança independente Jack Whitton também conhecido como fin1te. O pesquisador do Reino Unido acaba de publicar uma história inacreditável envolvendo um bug de XSS (cross-site-scripting) e a rede de distribuição de conteúdo do Facebook.
O pesquisador relatou o bug em julho 2015 mas não veio a público apenas alguns dias atrás.
Por que os bugs XSS são perigosos?
O que é uma vulnerabilidade XSS? Um ataque com base em XSS ocorre quando agentes mal-intencionados implementam scripts mal-intencionados em sites legítimos. Uma vulnerabilidade XSS é explorada quando você, por exemplo, enviar um conteúdo de site que inclua JavaScript malicioso incorporado. O site irá posteriormente incluir o código em sua resposta.
Cada vez que um site mostra qualquer conteúdo proveniente de outra fonte (como um arquivo enviado ou incluído em um endereço URL), o site deve filtrar quaisquer caracteres suspeitos. Lembre-se de que esses caracteres geralmente incluem colchetes e < > sinais. Esses sinais são usados para denotar partes de uma página que devem ser gerenciadas como imagens, ligações, Scripts, etc.
O bug XSS em Photos.Facebook.com
O que Fin1te encontrou? O pesquisador encontrou uma maneira de criar um URL em photos.facebook.com, redirecionado para alocar seu arquivo especialmente criado da rede de distribuição de conteúdo (CDN). Em outras palavras, ele conseguiu enviar um script oculto para o CDN, e recuperá-lo com a ajuda de um link mascarado inocentemente.
Uma vez clicado por um usuário, o script seria executado no navegador como se fosse um script oficial do Facebook. Se o usuário estiver logado, o script criado pode fazer praticamente qualquer coisa que o usuário fizer - postar mensagens, fotos, obter acesso a dados privados, etc.
Tendo em mente como funciona uma rede social, esses scripts podem facilmente se tornar virais, em um aspecto negativo. É por isso que um ataque envolvendo um bug XSS pode ser referido como um ameaça de verme. Ele pode ser implantado para se espalhar automaticamente por qualquer rede, tornando-se assim em um worm de rede ou vírus.
O bug XSS foi corrigido quase imediatamente após o pesquisador relatá-lo ao Facebook. Não obstante, ele esperou meio ano para torná-lo público, para que os engenheiros de segurança do Facebook tenham tempo suficiente para implementar uma solução melhor. Ele foi premiado $7500.