あるグループは、ユーザーの壁にスパムを投稿することですでにこの問題を悪用しています
12月末に、ポーランドのセキュリティ研究者が、Facebookに必要なすべての機能を備えたワームを作成するために使用できる作業コードの詳細と例を公開しました。
このコードは、Facebookプラットフォームの脆弱性を悪用します。Facebookプラットフォームは、インターネット上のエイリアスLasqを使用して、ポーランドの研究者によってスパマーのグループによって悪用されました。 この脆弱性は、他のユーザーと情報を共有するために提供されるモバイル版のポップアップダイアログに隠されています。 デスクトップでは、この脆弱性はありません。
Lasqによると、攻撃者がiframeを介して使用する「共有」ダイアログのモバイル版には、クリックジャッキングの脆弱性が存在します。 Lasqより前にこの脆弱性を発見したと思われるスパマーグループは、Facebookユーザーの壁へのリンクを投稿するためにこの脆弱性を使用しています。
Lasqが説明したように :
昨日、Facebookで非常に迷惑なスパムキャンペーンが行われました。その間に、多くの友人がAWSでホストされているサイトを開くリンクを投稿しました。 コメディ漫画のあるフランスのサイトのようなものだったので、誰がこのリンクをクリックしないのでしょうか?
そして、リンクをクリックすると、AWSでホストされているサイトが表示されました。 彼は、コンテンツにアクセスするために、あなたが16歳(フランス語)であることを確認するように頼みました。 ボタンをクリックした後、あなたは本当にコミックブックとたくさんの広告のあるページにリダイレクトされました。 しかし同時に、クリックしたリンクはFacebookのウォールに表示されました。
研究者は、彼は問題の底に達したと言い、それはFacebookがモバイル版の「共有」ダイアログのX-Frame-Optionsヘッダーを無視するということです。 Web業界で承認されたMDNのドキュメントによると 、このヘッダーはサイトでコードがiframe内にロードされるのを防ぐために使用され、クリックジャックに対する主要な保護です。
Lasqは、Facebookで問題を報告したが、会社はそれを修正することを拒否したと述べた。
「予想どおり、Facebookはセキュリティの影響を説明しようとしたにもかかわらず、これを問題とは考えていませんでした」と彼は言いました。 「彼らは、クリックジャックによるセキュリティの問題を考慮するために、攻撃者はアカウントの状態を変更できる必要があると述べました(たとえば、セキュリティ設定を無効にしたり、アカウントを削除したりします)。」
「私の意見では、彼らはそれを修正すべきだ」と研究者は付け加えた。 -ご覧のように、攻撃者がユーザーをだまして何かを共有させることで、この「機能」を悪用することは非常に簡単です。 そのような機会の危険性を誇張することは不可能です。 今日ではスパムに使用されていますが、このようなテクノロジーを使用するためのより複雑なオプションを簡単に想像できます。
研究者は、この手法により、攻撃者は悪意のあるサイトまたはフィッシングサイトへのリンクを含む自己増殖メッセージを作成できると主張しています。
ZDNetの申し立てに応えて、Facebookは、Lasqの場合のように、これを問題とは見なしていないと述べました。
「この研究者から受け取った情報に感謝しており、現時点でこの問題に取り組み始めた」とFacebookの広報担当者は述べた。 「iframeに「共有」ダイアログのモバイルバージョンが表示される可能性を組み込み、サードパーティのウェブサイトで使用できるようにしました。」
「この機能の悪用を防ぐため、iframeに組み込まれているすべての製品にクリックジャック検出システムを使用しています。 Facebookは、受信した信号に基づいてこれらのシステムを常に改善しています。 「このレポートに関係なく、今週、研究者のレポートに記載されているリスクを無効にするクリックジャッキング検出システムをすでに改善しています。」
Lasqコードには、ユーザーの壁にメッセージを投稿するクリックジャックに直接関連する部分は含まれていませんでしたが、インターネットでの簡単な検索により、攻撃者はそれを作成し、公開された例に追加するために必要なすべての詳細とサンプルコードを得ることができます。 Lasqのコードにより、攻撃者はFacebookユーザーアカウントでサードパーティの不正コードをダウンロードして実行できます。