Otkriven bezbednosni propust Facebooka koji je mogao otkriti lične podatke vas i vaših prijatelja

Društvene mreže, 14.11.2018, 10:30 AM

Otkriven bezbednosni propust Facebooka koji je mogao otkriti lične podatke vas i vaših prijatelja

Istraživači kompanije Imperva otkrili su bezbednosni propust u Facebooku koja je mogao omogućiti napadačima da dođu do određenih ličnih podataka korisnika i njihovih prijatelja, što bi ugrozilo privatnost korisnika najpopularnije društvene mreže u svetu.

Propust je u načinu na koji Facebookova funkcija pretraživanja prikazuje rezultate za upisane upite.

Prema rečima istraživača Imperve Rona Masasa, stranica koja prikazuje rezultate pretrage uključuje iFrame elemente koji su povezani sa svakim rezultatom, pri čemu URL adrese tih iFrameova nemaju nijedan mehanizam za zaštitu od cross-site request forgery napada (CSRF).

Treba napomenuti da je novootkriveni bezbednosni propust već ispravljen, pre nego što je neko mogao da odjednom izvuče informacije sa velikog broja naloga.

Da bi iskoristili ovu ranjivost, napadači moraju prevariti korisnike da posete zlonamerni sajt u svom pretraživaču gde su već prijavljeni na svoje Facebook naloge.

Zlonamerni sajt sadrži javascript kod koji će se izvršiti u pozadini čim žrtva klikne bilo gde na toj stranici.

"Da bi ovaj napad funkcionisao moramo prevariti korisnika Facebooka da otvori naš zlonamerni web sajt i klikne bilo gde na sajtu (to može biti bilo sajt na kome možemo da pokrenemo JavaScript), što nam omogućava da otvorimo iskačući prozor ili novu karticu (u browseru) na Facebookovoj stranicu za pretragu, primoravajući korisnika da izvrši bilo koji upit koji želimo", objasnio je Masas na blogu kompanije.

JavaScript kod otvara novu karticu ili prozor sa Facebookovim URL-om koji pokreće određene unapred definisane pretrage i izvlači ciljane informacije.

Pretraživanje nečega na Facebooku izgleda manje korisno za napadače, pogotovo kada je rezultat samo da ili ne. "Napad ustvari otkriva broj rezultata pretrage za bilo koji upit za pretragu na trenutno prijavljenom Facebook nalogu”, kaže Masas.

Ali ako se ispravno koristi, Facebookova funkcija pretraživanja bi mogla biti iskorišćena za izvlačenje osetljivih informacija vezanih za vaš Facebook nalog, kao što je provera:

Da li imate prijatelja sa određenim imenom ili ključnom reči u njegovom/njenom imenu

Da li vam se sviđa određena stranica ili ste član određene grupe

Da li imate prijatelje kojima se sviđa određena stranica

Da li ste snimili fotografije na određenom mestu ili u nekoj zemlji

Da li ste ikada objavili fotografiju napravljenu na određenim mestima ili zemljama

Da li ste ikada objavili ažuriranje na vremenskoj liniji koje sadrži određeni tekst ili ključnu reč

Da li imate prijatelje određene veroispovesti itd.

Ukratko, ova ranjivost je mogla otkriti interesovanja i aktivnosti ciljanih korisnika i njihovih prijatelja čak i ako su njihova podešavanja privatnosti bila takva da ove informacije mogu biti vidljive samo njima ili njihovim prijateljima.

Imperva je još maja ove godine odgovorno prijavila bag Facebooku preko Facebookovog programa za otkrivanje propusta, a Facebook je rešio problem dodajući CSRF zaštite.

Pre tri meseca, isti istraživač je otkrio bezbednosni propust u Chromeu koji je mogao omogućiti napadačima da otkriju sve šta platforme, poput Facebooka i Googlea, znaju o vama. On je tada objavio i dokaz o izvodljivosti ovog napada (PoC, proof od concept kod).


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

Posle brojnih žalbi korisnika, Instagram testira nove metode za vraćanje hakovanih naloga

Posle brojnih žalbi korisnika, Instagram testira nove metode za vraćanje hakovanih naloga

Posle brojnih žalbi korisnika, Instagram je juče saopštio da testira nove metode koje bi korisnicima olakšale da ponovo dobiju pristup nalozima ko... Dalje

Facebook će ponovo plaćati korisnicima da bi pratio šta rade na svojim telefonima

Facebook će ponovo plaćati korisnicima da bi pratio šta rade na svojim telefonima

Facebook će ponovo početi da plaća ljudima da bi pratio kako koriste svoj telefon preko nove aplikacije koja je nazvana Study. Aplikacija će, i... Dalje

Twitter pojednostavio svoja pravila o bezbednosti i privatnosti

Twitter pojednostavio svoja pravila o bezbednosti i privatnosti

Kako bi olakšao razumevanje pravila svoje platforme, Twitter je juče objavio da pojednostavljuje svoja pravila koja su sada napisana jednostavnim, j... Dalje

Propao pokušaj da se Zakerberg natera na povlačenje sa mesta predsednika Facebooka

Propao pokušaj da se Zakerberg natera na povlačenje sa mesta predsednika Facebooka

Pokušaj da se osnivač Facebooka Mark Zakerberg natera da se povuče sa mesta predsednika kompanije nije uspeo. Na godišnjoj generalnoj skupštini k... Dalje

Facebook će vam olakšati da prijavite grešku na sajtu, potrebno je samo da protresete telefon

Facebook će vam olakšati da prijavite grešku na sajtu, potrebno je samo da protresete telefon

Facebook želi da pojednostavi i olakša korisnicima prijavljivanje grešaka na sajtu društvene mreže. Zahvaljujući novoj funkciji, kada naiđete ... Dalje