Исследователь опубликовал код для эксплуатации уязвимости в Facebook

Польский исследователь проблем кибербезопасности под ником Lasq обнаружил уязвимость в социальной сети Facebook. Изначально его внимание привлекла ссылка на страницу с комиксами на французском языке, почти одновременно появившаяся в лентах множества его знакомых в Facebook. Заинтересовавшись, Lasq решил перейти по ссылке. Как выяснилось, перед переходом на экран выводится просьба к пользователю: подтвердить, что ему уже исполнилось 16 лет. При нажатии на кнопку подтверждения пользователь действительно попадает на искомую страницу комиксов, но одновременно ссылка на эту страницу появляется в его ленте Facebook.

Исследователь смог установить, что проблема затрагивает только мобильную версию Facebook и связана с тем, что Android-приложение социальной сети неправильно обрабатывает заголовок X-Frame-Options. Он служит для информирования браузера о возможности либо невозможности внедрения веб-адресов в iFrame. Это и позволило неизвестным спамерам внедрить код страницы комиксов в iFrame. Lasq создал демонстрационный код для эксплуатации этой уязвимости и обратился в Facebook через программу премирования исследователей Bug Bounty. Однако представители социальной сети отказались признавать проблему угрозой безопасности и устранять ее, поскольку она не влияет на состояние и настройки учетных записей пользователей. Сам Lasq с этим категорически не согласен: он отмечает, что уязвимость легко может быть использована для массового распространения ссылок на фишинговые сайты и страницы, инфицированные вредоносным ПО, что является более чем серьезной угрозой безопасности.


Источник:  Bleepingcomputer

Возврат к списку