Nem javít egy súlyos sebezhetőséget a Facebook

Vágólapra másolva!

Megint szétspammelhető a közösségi hálózat.

Origo

Vágólapra másolva!

Facebook spam sérülékenység sebezhetőség biztonság

Az elmúlt években többször is előfordultak olyan incidensek a Facebookon, mikor trükkös spammereknek sikerült mindenféle szemetet megosztaniuk a facebookozók idővonalain, persze a tudomásuk és akaratuk nélkül. Ehhez általában egy linkre kellett csak rákattintaniuk a felhasználóknak, és máris megjelent a kéretlen tartalom az idővonalukon, emiatt pedig az ismerőseik hírfolyamában.

Ezután az áldozatok ismerőseinek egy része lekattintotta kíváncsiságból a spamet, mire ők is tovább terjesztették azt az ismerőseiknek. És ez így ment addig, amíg a Facebook meg nem állította az éppen aktuális spamtámadást.

Most kiderült, hogy a Facebook mobilappjaiban akad egy szándékos konfigurációs hiba, ami kivitelezhetővé teszi a spam fentebb taglalt, vírusszerű terjesztését. Alapvetően egyszerűen működik a dolog:

a felhasználók meglátnak egy linket a Facebookon, amin állítólag érdekes tartalmakat (és rengeteg reklámot) nézhetnek,
ezután a leendő áldozatok megnyitják a linket a Facebook beépített böngészőjében,
végül pedig rákoppintanak egy gombra, hogy elmúltak 16 évesek.

Itt történik meg a baj: a koppintás hatására a rosszindulatú weblap képes bármely szabadon választott linket megosztani az idővonalaikon.

A korra rákérdező felület valójában egy láthatatlan, facebookos linkmegosztó felületet is leokéz, mikor rákoppintanak az áldozatok.

A sebezhetőség megszüntetése elméletileg triviális volna, a Facebooknak csak meg kellene változtatnia a mobilappjába beágyazott böngészőmotor „hibás" beállítását. A cég viszont egyelőre nem hajlandó erre, a problémát bejelentett biztonsági kutatót azzal koptatta le, hogy a sérülékenység nem ad lehetőséget a felhasználói profilokban lévő adatok átállítására, így nem tartja sebezhetőségnek.

A felettébb sántító magyarázkodás hátterében nyilvánvalóan az áll, hogy a beállítás megváltoztatása tönkretenné azt a cikkmegosztási módszert, aminek az alapvető tervezési hibáját kihasználják a spammerek.

Mint fentebb említettük, nem véletlen hibáról van szó: a Facebook szándékosan kapcsolt ki egy biztonsági funkciót a mobilappjaiban, hogy lehetővé tegye a linkmegosztási módszer működését. Emiatt a védelmi funkció bekapcsolása kellemetlen volna a Facebook és egyes webhelyek számára, de akkor is muszáj lesz lépnie a közösségi hálózatnak, különben

napokon belül világméretűvé válhat a spammelési probléma.

A biztonsági kutató látókörébe sem véletlenül került a sérülékenység, hanem egy franciául beszélő facebookozókat célzó, jelenleg is aktív spamkampány vizsgálata során akadt rá.

A sérülékenység csak a Facebook mobilappjaiban betöltött webhelyek esetén működik, a megszokott mobilos és számítógépes böngészőkből nem használható ki.