近期,Facebook报告了一个安全漏洞,该漏洞可能允许攻击者获得某个特定用户及其朋友的私人信息。该漏洞可能使这个世界上最受欢迎的社交网络的所有用户的隐私受到安全威胁。
来自Imperva的网络安全研究人员发现了这个漏洞,该漏洞存在于Facebook搜索功能显示输入查询的结果处。
Imperva的研究人员Ron Masas说,显示搜索结果的页面包括与每个结果相关联的if rame元素,其中那些if rame端的URL没有任何保护机制来防止跨站点请求伪造(CSRF)攻击。
应该说明的是,这次新报告的漏洞已经被修补,并且不同于Facebook中先前公开的泄露了3000万用户的个人信息的漏洞,它不允许攻击者立即从大量账户中偷取敏感信息。
Facebook搜索漏洞的原理是啥?
为了利用此漏洞,攻击者只需要诱骗已经登录到Facebook的用户访问其网页浏览器上的恶意站点即可。
恶意站点上包含一个ja vasc ript代码,一旦受害者单击该页面上的任何地方,该代码将在后台执行。
Masas 解释道:“为了让攻击生效,我们需要欺骗Facebook用户打开恶意站点,并单击站点上的任何地方,(可以是我们可以运行ja vasc ript的任何站点),使得我们能打开Facebook搜索页面,迫使用户执行我们想要的任何搜索查询。”
正如Masas在下面显示的视频中所演示的,ja vasc ript代码打开了一个带有Facebook URL的新选项卡或窗口,该URL运行某些预定义的搜索查询并获取结果以提取目标的隐私信息。
在Facebook上搜索某些东西似乎没太大好处,尤其是当返回结果仅仅为“是”或“否”时。
“攻击实际上泄露了当前登录脸谱网帐户上的任何搜索查询的搜索结果的数量。最基本的用法就是进行布尔查询,判断某些事和你有没有关系”Masas告诉黑客新闻。
但如果使用正确,Facebook的这个搜索特性可以被利用来提取与Facebook帐户相关的敏感信息,比如检查:
如果你有这样一个朋友,他名字里有一个特定的名字或关键字
如果您喜欢某个特定页面,或者是特定组的成员
如果你有一个喜欢特定页面的朋友
如果你在某个地方或国家拍过照片
如果你曾经在某个地方/国家张贴过照片
如果您曾在包含特定文本/关键字的时间线上发布更新
如果你有伊斯兰朋友
以上等等…你可以想出的任何自定义查询。
Masas补充道:“由于攻击者可以控制Facebook窗口的位置属性,因此这个过程可以重复进行,而且 不需要打开新的弹出窗口或选项卡。这对于移动用户尤其危险,因为打开的标签很容易在后台隐藏,从而允许攻击者在用户观看视频或阅读攻击者网站上的文章时提取多个查询的结果。”
简言之,该漏洞暴露了目标用户及其朋友的兴趣和活动,即使他们的隐私信息被设置为仅对他们自己或他们的朋友可见该信息。
Imperva在2018年5月通过Facebook的漏洞泄露程序负责任地向Facebook报告了该漏洞,而社交网络巨头几天后通过增加CSRF保护解决了这个问题。
大约三个月前,Masas还报道了一个令人印象深刻的网络浏览器漏洞,该漏洞暴露了其他网络平台(如Facebook和Google)所有关于你的一切。他还发布了一个POC。
原文链接:https://thehackernews.com/2018/11/facebook-vulnerability-hack.html