Facebook 又现漏洞 用户隐私受威胁

编译：360代码卫士团队

Imperva 公司的研究人员在 Facebook 中发现了一个漏洞，可导致攻击者获取关于用户及其好友的个人信息，有可能将这个全球最流行的社交网络的用户隐私置于风险之中。

该漏洞存在于 Facebook 搜索功能展示输入查询结果的方式。

研究员 Ron Masas 指出，展示搜索结果的页面包括和每个输出结果相关的 iFrame 元素，这些 iFrame 的端点 URL 不受任何针对跨站点请求伪造攻击的保护机制。

应该注意的是，新出现的漏洞已得到修复。和此前导致3000万名用户个人信息被泄露的漏洞不同，攻击者无法利用新漏洞一次性从大量账户中提取信息。

攻击者只需诱骗用户从已登录 Facebook 账户的 web 服务器上访问一个恶意网站即可利用这个新漏洞。这个恶意站点上包含一个 javascript 代码，受害患者点击网页上的任何地方都可导致该代码在后台执行。这个 JavaScript 代码打开一个新的标签页或窗口，而 Facebook URL 会运行某些预先设定的查询请求并根据结果提取目标信息。

在Facebook 网站上查找东西看似不具任何诱惑力，尤其是当利用代码返回的结果只是“yes”或“no”的时候。

Masas 表示，“攻击实际上写的是当前已登录 Facebook 账户上任意搜索查询的搜索结果数量。最基本的用途是提出如‘我在冰岛的照片’这样的布尔型查询。”

但如果正确地使用 Facebook的查询功能，则会提取出和 Facebook 账户相关的敏感信息，如查看：

• 你的好友中是否有人叫某个特定名字或者他/她的名字中是否含有某个关键字。

• 你是否喜欢某个特殊页面或者是否是某个群组的成员。

• 你的好友中是否有人喜欢某个特定的页面。

• 你是否在某个地理位置或国家拍了照片。

• 你是否在时间轴中发布了包含某个特定文本/关键字的动态更新。

• 你的好友中是否有人信仰伊斯兰教。

以上只是一些例子。你可以查看任意自定义查询。

Masas 补充道，“无需新的弹出消息或打开新标签页就能重复这个进程，因为攻击者能够控制 Facebook 窗口的位置属性。该漏洞对于移动用户而言更危险，因为打开的页签很容易被丢在后台，从而使得攻击者能够提取多个查询的结果，而用户可能正在观看视频或者阅读攻击者站点上的某篇文章。”

简言之，该漏洞暴露了目标用户及其好友的兴趣和活动，即使他们将隐私设置为尽可供自己或好友查看也无济于事。

2018年5月，Imperva 公司负责任地将这个漏洞的情况通过 Facebook 公司的漏洞披露计划告知 Facebook，后者在几天后增加了跨站点请求伪造保护措施，从而解决了这个问题。

近3个月前，Masas 还提交了一个令人印象深刻的 web 浏览器漏洞，可泄露其它 web 平台如 Facebook 和谷歌平台上用户的所有信息。另外他还发布了相关的 PoC。

原文链接

https://thehackernews.com/2018/11/facebook-vulnerability-hack.html

本文由360代码卫士编译，不代表360观点，转载请注明 “转自360代码卫士www.codesafe.cn”。