留意行動版FB瑕疵,垃圾廣告正蔓延

圖片來源:https://zdnet4.cbsistatic.com/hub/i/2018/09/28/ff0fec41-7365-4f02-8017-ac1a566d9a6d/5288580bd98cc107d7efcbb59303a6ce/facebook-icon.jpg

波蘭籍資安鑑識分析好手Lasq,部落格甫開張就揭Facebook的瘡疤,上週Lasq意識到,有個在臉書散布垃圾廣告的組織行動,藉由分享趣味圖案,吸引人按下滑鼠,彈出對話框詢問是否年逾16,再按鍵則挑出一堆廣告,而FB出現期望中的內容,賡續追查發現,該行動鎖定法國人,還避開來自波蘭的轉址流量,此資安事件無法以X-Frame-Options=DENY方式阻絕,因攻擊者係利用Facebook行動版網頁分享對話方塊功能,當mobile_iframe=true,能操控受害者後續瀏覽之URL,危險之處在於FB朋友之間信任,無防備狀態下被誘導至釣魚網頁而交出個資,下載惡意程式,甚可能變更受害者隱私選項,刪除account,然FB官方認為此為功能非漏洞,並宣稱已改善Clickjacking偵測系統,足以防止攻擊,但Lasq實測後仍可得手,並提供探勘工具(https://malfind.com/test/poc.html ),惟須注意試驗poc.html時請調整為隱私,莫影響社交關係。

影響產品:Facebook

解決辦法:暫無。

資料來源:

發表迴響

你的電子郵件位址並不會被公開。 必要欄位標記為 *