В Facebook нашли уязвимость, открытую для червей: компанию это не беспокоит

Опубликовано at 14:02
53 0

Польский специалист по кибербезопасности, известный в сети под никнеймом Lasq, опубликовал PoC-эксплоит для уязвимости в Facebook. По словам эксперта, найденная им проблема может использоваться для создания полноценного червя, и уже эксплуатируется как минимум одной группой спамеров.

Lasq рассказал, что занялся изучением странной спамерской активности в социальной сети, после того как несколько его друзей в Facebook разместили ссылку на один и тот же французский сайт комиксов. Перед переходом на сайт пользователя просили подтвердить, что ему уже есть 16. После клика по предложенной кнопке, пользователя действительно ждал редирект на сайт с обилием смешных картинок и рекламы. Однако после нажатия на эту кнопку такая же ссылка на «прикольный сайт» появилась и в хронике самого пользователя.

Технически уязвимость происходит из игнорирования хедера X-Frame-Options в мобильной версии Share для диалогов. В нормальной ситуации этот хедер должен использоваться сайтами для предотвращения загрузки кода внутри iframe, что является защитой от кликджекинговых атак. В реальности этого не происходит.

Lasq написал и опубликовал PoC-код, который может быть использован для создания полностью функционального червя для Facebook, который эксплуатирует данную уязвимость (только на мобильных устройствах).

Когда исследователь сообщил о проблеме администрации Facebook, она отказалась рассматривать ситуация как угрозу безопасности, пояснив, что настоящей проблемой кликджекинг бы стал, если бы атакующий мог изменить состояние учетной записи (например, отключить функции безопасности или удалить аккаунт). Ну что ж, подождем, тем более Lasq говорит, что ждать осталось недолго.

Почитайте пока, какие еще страшные бывают черви.

Подписываемся, следим @CyberAgency

Related Post

Бывшие хакеры АНБ требуют от правительства защиты

Опубликовано - 06.12.2017 0
Прозвучавшие на днях обвинительные приговоры в отношении трех китайских хакеров вызвали беспокойство у хакеров, работавших с Агентством Национальной Безопасности (АНБ)…

Цифровизация по-русски: бюджет на кибербезопасность до 2020 года сократили втрое

Опубликовано - 21.06.2018 0
CNews изучил план мероприятий программы «Цифровая экономика» по разделу «Информационная безопасность» и структуру соответствующих затрат. Оказалось, что после рецензии на…

Добавить комментарий