Польский специалист по кибербезопасности, известный в сети под никнеймом Lasq, опубликовал PoC-эксплоит для уязвимости в Facebook. По словам эксперта, найденная им проблема может использоваться для создания полноценного червя, и уже эксплуатируется как минимум одной группой спамеров.
Lasq рассказал, что занялся изучением странной спамерской активности в социальной сети, после того как несколько его друзей в Facebook разместили ссылку на один и тот же французский сайт комиксов. Перед переходом на сайт пользователя просили подтвердить, что ему уже есть 16. После клика по предложенной кнопке, пользователя действительно ждал редирект на сайт с обилием смешных картинок и рекламы. Однако после нажатия на эту кнопку такая же ссылка на «прикольный сайт» появилась и в хронике самого пользователя.
Технически уязвимость происходит из игнорирования хедера X-Frame-Options в мобильной версии Share для диалогов. В нормальной ситуации этот хедер должен использоваться сайтами для предотвращения загрузки кода внутри iframe, что является защитой от кликджекинговых атак. В реальности этого не происходит.
Lasq написал и опубликовал PoC-код, который может быть использован для создания полностью функционального червя для Facebook, который эксплуатирует данную уязвимость (только на мобильных устройствах).
Когда исследователь сообщил о проблеме администрации Facebook, она отказалась рассматривать ситуация как угрозу безопасности, пояснив, что настоящей проблемой кликджекинг бы стал, если бы атакующий мог изменить состояние учетной записи (например, отключить функции безопасности или удалить аккаунт). Ну что ж, подождем, тем более Lasq говорит, что ждать осталось недолго.
Почитайте пока, какие еще страшные бывают черви .
