安全研究人员揭露手机版脸书app上一项点击劫持漏洞,使用户可能不慎上钩而成为散布垃圾信息的帮凶。脸书一度以这不是漏洞而是功能拒绝修改。
代号为Lasq的安全研究人员首先揭露这项漏洞。他是因为多位友人传来奇怪的垃圾信息连结进而追查。这个连结出现在手机版脸书app的他人动态消息上,显示是连到AWS上的幽默漫画网站。用户点入网站时,会出现一则法文信息,提醒用户需年满16岁才能点入。用户点入其中的按键后一方面会真的导向有漫画及大量广告的网页,但同时间用户的脸书就被劫持了;同样的连结信息也出现在自己的脸书动态消息墙上。
经过分析,他发现这是因为脸书手机版app的分享对话方块(share dialog)存在的点击劫持漏洞。根据脸书说明,分享对话方块可"让用户将个人动态发布到自己或朋友的动态时报、社团或Messenger信息中,"而不需登入脸书。研究人员指出,桌机版脸书的"分享对话方块"的X-Frame-Options回应标头设定,以致能挡下含有iFrame元素的网页,然而这在Android版脸书app却是允许的,以致于攻击者成功将有害连结送到受害者的脸书动态时报墙。研究人员随后设计了概念验证(PoC)攻击程序,证明手机版app的确有此"漏洞"。
研究人员于是通报脸书,但脸书拒绝修改,理由是除非它会导致骇客变更用户的帐号状态(如关闭安全功能选项或移除帐号),否则不能视为安全漏洞。根据脸书对该功能的说明,这是mobile_iframe参数提供的功能,并非漏洞,脸书还指这个选项只在移动版本,桌机版没有。
研究人员认为就算这是一项功能,也是实作非常差的功能,因为攻击者可轻易用它来操弄脸书用户在其动态墙上分享非出于他意愿的属性,造成更重大损害,例如让高知名度的人在脸书上散布有恶意程式的文件和钓鱼网站。
不过在国外媒体报导后,脸书已经在手机版app加入点击劫持的侦测,同时加入警语,要求用户确认是否要分享该连结。
閱讀更多 IT情報局菊長 的文章
