画像: ペクセル
情報セキュリティ研究者は、ソーシャルネットワークFacebookに脆弱性を発見しました-このエラーは、ユーザーとその友人に関する機密情報の漏洩につながる可能性があります。 ソーシャルネットワークの検索機能でエラーが検出されました。
問題は何ですか
Impervaの研究者Ron Masasによると、検索結果を表示するページには、検索結果に関連するiFrame要素が含まれています。 これらのiFrameの最終URLは、クロスサイトリクエストフォージェリ(CSRF)クロスサイトリクエストフォージェリ攻撃から保護されません。
脆弱性を悪用するには、攻撃者はユーザーをだまして特別なサイトを訪問させる必要があります。 ユーザーが自分のFacebookプロファイルにログインしていることが重要です。 バックグラウンドでWebページをクリックすると、JavaScriptコードが実行されます。 このコードは、Facebook URLで新しいタブを開きます。このタブでは、攻撃者に必要な情報を取得するために、所定のリクエストが実行されます。
この攻撃は、「休暇からの写真」などの情報の検索と、次のようなより機密性の高いデータの抽出の両方に使用できます。
- ユーザーには、プロファイル名に特定の名前またはキーワードを持つ友人がいます。
- ユーザーがどのページを好み、どのグループに属しているか。
- 特定のページをフォローしている友達はいますか?
- 特定の場所または国からの写真の存在;
- ユーザーが特定のキーワードを含む投稿を投稿したかどうか
- 彼には特定の宗教の友人がいますか?
- など
したがって、このような情報の外部者との共有を禁止するプライバシー設定を設定している場合でも、この脆弱性により機密性の高いユーザーデータが公開されます。
このプロセスは、新しいタブを開くことなく何度も繰り返すことができます。 その結果、この攻撃はモバイルユーザーに最大の危険をもたらします-新しいタブのオープンを追跡することはより困難です。
自分を守る方法
研究者はFacebookに目を向け、同社はすでにこの脆弱性を修正しています。 ソーシャルネットワークエンジニアは、CSRF攻撃に対する保護を追加しました。
サービスと製品に対する高い需要のために開発がストリームに入れられると、ますます多くの開発者が継続的な統合と配信(CI / CD)プロセスを導入しています。 CI / CDの重要な部分は、開発中のソフトウェアのセキュリティです。 脆弱性を正確に特定して排除することが特に重要です。 ただし、実際には、すべてがそれほど単純ではありません。
多くの人は、コードの品質の分析でセキュリティリスクを含めてソフトウェアをチェックするのに十分であると誤って信じています。 そして、これがそうではないと理解し、セキュリティ分析ツールに頼る人々は、脆弱性検証の問題に直面しています。 通常、手動で実行され、脆弱性の数が数百および数千に達する可能性があるという事実を考慮して、CI / CDプロセスの有効性とそのサポートの実現可能性は大きな問題のようです。
11月22日木曜日の午後2時に 、Positive Technologiesアプリケーションセキュリティ部門のエキスパートであるAlexey Zhukovが無料のウェビナーを開催します。 そのコースでは、継続的なプロセス、大容量、期限の厳しさにおいて、セキュリティ上の欠陥が気付かれず、検証がボトルネックにならないようにする方法を学びます。 Alexeyは、ソフトウェアのセキュリティを確保するプロセスを正しく自動化し、基本的なタスクの実行効率を向上させる方法について説明します。 このウェビナーは、開発者とDevOpsのスペシャリストに役立ちます。
ウェビナーに参加するには、 登録する必要があります 。