Światowe media rozpisują się o Polaku, któremu udało się stworzyć "facebookowego robaka". Zanim specjalista przystąpił do jakichkolwiek działań związanych z funkcjonowaniem złośliwego kodu, podzielił się swoim odkryciem ze światem: po to, aby ustrzec i Facebooka i użytkowników przed możliwym wykorzystaniem podatności w serwisie społecznościowym.
Polak kontra Facebook. Nasz rodak stworzył "socialowego robaka"
Lasq, bo tak nazywa się odkrywca luki i twórca proof of concept (dla "facebookowego robaka" wykorzystującego podatność) twierdzi, że zauważył możliwość stworzenia takiego narzędzia, gdy natrafił na kampanię spamerską w serwisie Facebook. Jak wynika z jego ustaleń, błąd zawiera się w oknie dialogowym udostępniania treści w medium społecznościowym - jedynie w wersji mobilnej. Odsłona desktopowa jest wolna od tej luki.
I dug a little in Facebook Developer documentation and it seemed it may be “not a bug, but a feature”. On this doc page we can learn about a special parameter called mobile_iframe which “if set to true the share button will open the share dialog in an iframe on top of your website […] This option is only available for mobile, not desktop”. It seems then that this is indeed a feature but a very poorly implemented one.
Ponadto, ekspert opisał kampanię spamerską wycelowaną najprawdopodobniej we francuskich użytkowników Facebooka. Tym proponowano link do strony ze "śmiesznymi komiksami", w trakcie odbywało się sprawdzenie wieku użytkownika (po to, aby "zweryfikować jego możliwość dostępu do treści dla dorosłych"). Po tym komiks się pojawiał, ale wokół niego proponowano mnóstwo innych, być może złośliwych reklam. Ale nie to było istotne: link do tej treści magicznie pojawiał się na Facebooku - tak, jakby użytkownik rzeczywiście go udostępniał.
Wtedy już, ekspert dokładnie wiedział, że doszło do clickjackingu, ale według niego było to nieco dziwne, bowiem na ogół Facebook chroni przed tego typu praktykami. Gdy próbował rozgryźć to, w jaki sposób udało się ominąć typowe zabezpieczenia, zauważył, że... najprawdopodobniej "zbanowano" tę kampanię dla Polaków, tak aby nie wpadali oni w pułapkę. Za kampanią odkrytą przez Lasq'a stoją więc najprawdopodobniej Polacy, którzy w bardzo sugestywny sposób skonstruowali skrypt geolokalizujący, który miał posłużyć do wykluczenia osób z naszego kraju.
Na podstawie analiz udało się stworzyć PoC dla tego ataku - można pobrać go stąd i spróbować wkleić na swoją tablicę z atrybutem "Tylko ja" w kontekście widoczności w sieci społecznościowej. Następnie, należy kliknąć w ten link z mobilnego Facebooka - treść powinna pojawić się na osi czasu bez żadnej dodatkowej akcji odnoszącej się do udostępniania.
Nieco dziwi jednak podejście Facebooka do problemu: Polak próbował się kontaktować z pionem bezpieczeństwa giganta, który wydaje się uznawać, że to wcale nie jest "błąd bezpieczeństwa", lecz dowód na to, że wszystko "działa tak jak należy"
Nevertheless I reported this to the Facebook Bug Bounty program, although I was quite sure this will be rejected as “working as intended” but I didn’t want to publish this post without giving them chance to fix this. This was my first ever bug report so I was quite excited anyway. As expected Facebook declined the issue, despite me trying to underline that this has security implications. They stated that for the clickjacking to be considered a security issue, it must allow attacker to somehow change the state of the account (so for example disable security options, or remove the account). On the bright side I am very pleased with their reaction time and swift response, all matter closed within 12 hours from an initial report.
ReklamaIn my opinion they should fix this, but since they declined it I have no moral issue to publish this article. Maybe it will help to better highlight this problem. As you can see this “feature” can be extremely easily abused by an attacker to trick Facebook users to unwillingly share something on their wall. I cannot stress enough how dangerous this is. This time it was only exploited to spread spam, but I can easily think of much more sophisticated usage of this technique. Just imagine how much damage can a link to a malware document or a phishing site cause when shared by a well-known person with thousands of followers. In the end we all trust our Facebook friends and gurus, don’t we?
Hej, jesteśmy na Google News - Obserwuj to, co ważne w techu