Facebook的工程师们在该社交网络的底层代码库中存在一个漏洞,这个漏洞可能会让一个恶意威胁行为者秘密收集Facebook用户高度敏感的个人信息。
在与ZDNet的电子邮件交流中,Imperva的安全研究员Ron Masas发现了这个问题,他说这个漏洞存在于Facebook的搜索系统中。
“我浏览了Facebook的在线搜索结果,在他们的HTML中发现每个结果都包含iframe元素——可能用于Facebook自己的内部跟踪,”Masas说。
研究人员说,看到这一点后,他意识到,通过在搜索结果页面中寻找iframe,他可以确定搜索查询是否返回了积极或消极的结果。
使用基本的“是”和“不是”的问题,玛莎说他可以推断如果用户喜欢某个特定页面,如果他们已经拍了照片在特定的地理位置,如他们有特定的宗教信仰在他们的朋友的朋友列表、共享的文章与特定的文本、用户有朋友与一个特定的名称,如用户的朋友住在一个特定的城市或国家,和许多其他高度敏感细节。
这些搜索查询,即使没有暴露细粒度的细节,也会暴露一些二手信息,这些信息在拼凑起来之后,可能会揭示用户及其朋友圈的身份。
但是只有用户才能访问这些高度隐私的信息。攻击者将无法通过Facebook的公共搜索功能运行这些搜索查询。
为了绕过这个限制,Masas创建了一个恶意网页,攻击者可以在上面引诱用户。如果用户以任何方式与此页面交互,比如滚动或单击,该页面将自动执行恶意JavaScript代码,从而在新选项卡中自动执行这些搜索查询。
Masas告诉ZDNet,攻击者可以使用一种叫做“标签下”的技术,迫使Facebook的搜索页面在一个后台标签页中打开,这样用户的注意力就会集中在恶意页面上——这个页面可以伪装成在线游戏、电影流媒体门户或新闻文章。
由于标签下技术现在经常用于推动侵入性的在线广告,大多数用户甚至不会注意到在他们的浏览器的背景下打开的新标签,仅仅考虑到另一个广告。
当用户与恶意页面交互时,Masas的脚本将通过Facebook Graph API自动执行一系列Facebook搜索,计算通过“fb.frame .length”属性返回的搜索结果的iframes数量,并记录结果。研究人员分享了一段关于这次袭击的视频——尽管这仍然是可能的。
攻击肯定会不工作如果用户有2 - 3选项卡打开他们的桌面浏览器,他们看到一个新的Facebook选项卡被打开,但由于大多数用户倾向于保持大量的选项卡标签栏,有高几率大多数用户甚至不会看到攻击——特别是如果他们专注于攻击者的恶意页面,这应该很容易,如果页面提供了一个游戏,新闻文章或视频。
此外,这种攻击很可能在移动设备上更加有效,因为在移动设备上,标签无法在屏幕上看到,而只能作为标签计数器使用,而标签计数器常常被忽略。
Masas告诉ZDNet,他的攻击对所有浏览器都有效,并不局限于Chrome,就像他在8月份发现的Facebook漏洞一样。
此外,攻击还不需要为每个搜索查询打开单独的选项卡,允许攻击者在短时间内使用新的搜索URL重新加载现有的选项卡。
在今天的一篇博客文章中,Masas说他在今年5月向Facebook报告了这个漏洞,不久之后该平台就推出了补丁。
研究者的研究结果表明,尽管其广阔的bug赏金计划,Facebook却总是很难获得这样一个巨大的平台,并将一直保持开放mass-harvesting操作,如剑桥—丑闻或最近的安全漏洞引起的另一个平台的特性——视图按钮。
閱讀更多 IT資訊網 的文章
