В Facebook нашли уязвимость, открытую для червей: компанию это не беспокоит

Опубликовано at 14:02
229 0

Польский специалист по кибербезопасности, известный в сети под никнеймом Lasq, опубликовал PoC-эксплоит для уязвимости в Facebook. По словам эксперта, найденная им проблема может использоваться для создания полноценного червя, и уже эксплуатируется как минимум одной группой спамеров.

Lasq рассказал, что занялся изучением странной спамерской активности в социальной сети, после того как несколько его друзей в Facebook разместили ссылку на один и тот же французский сайт комиксов. Перед переходом на сайт пользователя просили подтвердить, что ему уже есть 16. После клика по предложенной кнопке, пользователя действительно ждал редирект на сайт с обилием смешных картинок и рекламы. Однако после нажатия на эту кнопку такая же ссылка на «прикольный сайт» появилась и в хронике самого пользователя.

Технически уязвимость происходит из игнорирования хедера X-Frame-Options в мобильной версии Share для диалогов. В нормальной ситуации этот хедер должен использоваться сайтами для предотвращения загрузки кода внутри iframe, что является защитой от кликджекинговых атак. В реальности этого не происходит.

Lasq написал и опубликовал PoC-код, который может быть использован для создания полностью функционального червя для Facebook, который эксплуатирует данную уязвимость (только на мобильных устройствах).

Когда исследователь сообщил о проблеме администрации Facebook, она отказалась рассматривать ситуация как угрозу безопасности, пояснив, что настоящей проблемой кликджекинг бы стал, если бы атакующий мог изменить состояние учетной записи (например, отключить функции безопасности или удалить аккаунт). Ну что ж, подождем, тем более Lasq говорит, что ждать осталось недолго.

Почитайте пока, какие еще страшные бывают черви.

Подписываемся, следим @CyberAgency

Related Post

Биткоины стоимостью €100 000 украдены через общественную беспроводную сеть

Опубликовано - 23.11.2017 0
Австрийская полиция заявила, что киберпреступники перевели биткоины стоимостью более 100 000 евро из учетной записи пользователя, когда тот зашёл в…

Сенаторы задумались о создании детской киберполиции

Опубликовано - 31.03.2017 0
Для борьбы с киберпреступлениями против детей необходимо создать специальную межведомственную группу, в которую должны войти медицинские специалисты, представители правоохранительных органов…

Игра киберпрестолов XVI: «коротышку» Эль Чапо помогли поймать израильские хакеры, работающие на арабов

Опубликовано - 22.03.2019 0
Газета The New York Times опубликовала сенсационное расследование о хакерских компаниях, помогающих правительствам разных стран следить за гражданами – как…

Добавить комментарий