Контакты
Подписка 2024
Персональные данные
4 апреля. Персональные данные в 2024 году: регулирование, практика, тенденции
Регистрируйтесь на онлайн-конференцию!

Опубликован PoC-эксплоит для уязвимости в Facebook

24/12/18

facebookПольский ИБ-специалист, известный в сети только под псевдонимом Lasq, опубликовал PoC-эксплоит для уязвимости в Facebook. Данная проблема может использоваться для создания полноценного червя, и по данным исследователя, уже эксплуатируется как минимум одной группой спамеров.

Lasq обратил внимание на проблему, когда заметил на страницах своих друзей ссылку, которая вела на французский сайт комиксов. При заходе пользователю требуется подтвердить возраст, а затем открывается страница с собственно комиксами и большим количеством рекламных объявлений, при этом ссылка на ресурс публикуется на стене на странице посетителя в Facebook.

Изучая исходный код страницы сайта, эксперт обнаружил подозрительный iframe, наличие которого могло указывать на кликджекинг. Копнув глубже, Lasq выяснил, что мобильная версия Facebook игнорирует заголовок X-Frame-Options в диалоге общего доступа (в десктопной версии проблема не проявляется), который используется сайтами для предотвращения внедрения кода в iframe, и является одной из основных мер защиты против кликджекинга.

Исследователь сообщил о проблеме администрации Facebook, но в компании отказались рассматривать ситуацию как угрозу безопасности. Как пояснили представители платформы, кликджекинг считается проблемой только в случаях, когда атакующий каким-либо образом изменяет состояние учетной записи (например, отключает функции безопасности или удаляет аккаунт). Однако эксперт не согласен с данной точкой зрения. По его словам, злоумышленники могут воспользоваться данной возможностью не только для рассылки спама, но и для распространения ссылок на вредоносные сайты.

 

Темы:FacebookУгрозы
NGFW
9 апреля. Отечественные NGFW: как защитить облачную инфраструктуру и настроить обнаружение кибератак
Участвуйте и представляйте решения!
Статьи по темеСтатьи по теме

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
SOAR, IRP, SOC
Спецпроекты журнала "Информационная безопасность"
Станьте автором издания!

Еще темы...

More...