波蘭籍資安鑑識分析好手Lasq,部落格甫開張就揭Facebook的瘡疤,上週Lasq意識到,有個在臉書散布垃圾廣告的組織行動,藉由分享趣味圖案,吸引人按下滑鼠,彈出對話框詢問是否年逾16,再按鍵則挑出一堆廣告,而FB出現期望中的內容,賡續追查發現,該行動鎖定法國人,還避開來自波蘭的轉址流量,此資安事件無法以X-Frame-Options=DENY方式阻絕,因攻擊者係利用Facebook行動版網頁分享對話方塊功能,當mobile_iframe=true,能操控受害者後續瀏覽之URL,危險之處在於FB朋友之間信任,無防備狀態下被誘導至釣魚網頁而交出個資,下載惡意程式,甚可能變更受害者隱私選項,刪除account,然FB官方認為此為功能非漏洞,並宣稱已改善Clickjacking偵測系統,足以防止攻擊,但Lasq實測後仍可得手,並提供探勘工具(https://malfind.com/test/poc.html ),惟須注意試驗poc.html時請調整為隱私,莫影響社交關係。
影響產品:Facebook
解決辦法:暫無。
資料來源:
- https://malfind.com/
- https://www.bleepingcomputer.com/news/security/the-clickjacking-bug-that-facebook-wont-fix/
- https://www.zdnet.com/article/researcher-publishes-proof-of-concept-code-for-creating-facebook-worm/
- https://twitter.com/lasq88
- https://developers.facebook.com/docs/sharing/reference/share-dialog
- https://zh.wikipedia.org/wiki/Facebook
- https://zh.wikipedia.org/wiki/%25E7%2582%25B9%25E5%2587%25BB%25E5%258A%25AB%25E6%258C%2581
- https://blog.m157q.tw/posts/2018/07/23/clickjacking-frame-attack-defense/
- https://www.qa-knowhow.com/?p=2944
