2018 Não tem sido fácil no Facebook. A plataforma social tem sido através de algumas violações de dados e de segurança dramáticas que milhões afetadas de seus usuários. Facebook também experimentou várias gotas no mercado de ações.
É interessante notar que, maior queda do Facebook do ano ocorreu em julho 26, um dia depois de bater seu pico de $217.50.
Clickjacking bug na versão mobile do Facebook Sharing Pop-Up Descoberto
Além dos escândalos de privacidade, Facebook também tem sido alvo de atores de ameaças, com campanhas de malware explorando com sucesso a rede e seus usuários. Para completar tudo o que fora, um pesquisador de segurança conhecido como Lasq acaba de publicar um código de prova de conceito sobre a criação de um verme totalmente funcional Facebook. O código PoC é baseado em uma vulnerabilidade de segurança específica residente na versão móvel do compartilhamento de Facebook pop-up. Felizmente, a versão desktop da plataforma não é afetado.
Segundo o pesquisador, uma vulnerabilidade clickjacking existe no diálogo de compartilhamento móvel que pode ser explorada através de elementos de iframe. É importante notar que a falha foi abusada em ataques em tempo real por um grupo de hackers que distribui o spam. O grupo foi postar links de spam nas paredes dos usuários do Facebook.
Lasq escreveu sobre “esta campanha SPAM muito chato no Facebook, onde um monte de meus amigos publicou um link para o que parecia ser um site hospedado na AWS balde" no um post de blog. A ligação foi para um site francês com comics, ele adicionou. O que aconteceu depois?
Depois de clicar no link, o site hospedado em AWS balde apareceu. Ele pediu-lhe para verificar se você está 16 ou mais (em francês) a fim de acessar o conteúdo restrito. Depois de clicar no botão, você estava de fato redirecionado para uma página com cómico engraçado (e um monte de anúncios). No entanto, entretanto, o mesmo link que você acabou de clicar apareceu no seu mural do Facebook.
Lasq acredita que tudo isso é possível porque o Facebook é ignorar o cabeçalho de segurança F-Frame-Options para o diálogo de compartilhamento móvel. Este cabeçalho é usado por sites para impedir o seu código de serem carregados dentro iframe. Isto serve como uma proteção crucial contra ataques de clickjacking.
O pesquisador de fato viu um tag iframe suspeito, qual "cheirava a clickjacking”. O quadro levou a outra AWS página hospedada, o que levou a uma outra que finalmente levou a um url Facebook. Lasq contactado Facebook para informá-los sobre o problema, mas eles se recusaram a dirigir-se:
Como esperado Facebook se recusou a questão, apesar me tentando sublinhado que este tem implications.They segurança afirmou que para o clickjacking para ser considerado um problema de segurança, deve permitir que invasor para alterar de alguma forma o estado da conta (Assim, por exemplo desativar opções de segurança, ou remover a conta).
Lasq, por outro lado, acredita que o Facebook deve levar a questão a sério e deve emitir um patch, porque o "recurso pode ser extremamente facilmente abusado por um atacante para enganar os usuários do Facebook para compartilhar algo de má vontade em sua parede”. A técnica pode ser abusado de muitas outras maneiras, não só para a distribuição de spams, o pesquisador salientou. Isto pode ser explorado para executar o malware auto-propagação e campanhas de phishing entregues através de mensagens de spam.