Независимый ИБ-эксперт рассказал о новой технике на вооружении спамеров в Facebook. Кликджекеры научились манипулировать легитимной функцией мобильного приложения социальной сети, чтобы размещать публикации в Хронике пользователей.

В своей статье специалист под ником Lasq рассказал, что на самом деле не занимается багхантингом и нашел уязвимость случайно. Его внимание привлекла недавняя спам-кампания, жертвами которой стали многие его друзья в Facebook. Все они опубликовали ссылки, которые якобы вели на сайт с забавными комиксами.

Через них пользователь попадал на страницу с просьбой подтвердить возраст. Если он кликал на кнопку, на его странице появлялся новый пост со ссылкой. Таким образом спамерский контент распространялся по социальной сети. Сам же пользователь действительно переходил на страницу с контентом, который хотел увидеть, где его также встречали многочисленные рекламные баннеры.

Эксперт присмотрелся к iframe-тегу на странице с проверкой возраста и обнаружил там цепочку ссылок, который перебрасывали жертву до команды на новую публикацию в Facebook. Сценарий срабатывал только в мобильном приложении — на настольном компьютере код не выполнялся.

Как выяснилось, мобильный клиент Facebook игнорировал предусмотренное на основном сайте ограничение на работу iframe-тегов. Исследователь нашел причину в специальной функции в настройках приложения — она и отключала блокировку всплывающих невидимых окон. Это позволяло злоумышленникам загрузить дополнительные элементы поверх посадочной страницы и опубликовать пост без согласия пользователя.

Эксперт обратился в Facebook через ее программу поиска уязвимостей. Однако представители соцсети отказались признать эту проблему багом, поскольку она якобы не влияет на безопасность аккаунта пользователя — через эту брешь невозможно, например, поменять его настройки.

В то же время Lasq обращает внимание на вредоносный потенциал подобной атаки. Описанный метод может пригодиться для распространения опасного ПО, фишинговых ссылок, и чем популярнее жертва злоумышленников, тем серьезнее оказывается угроза.

В комментарии изданию ZDnet представители Facebook поблагодарили эксперта за работу, но подчеркнули, что в своем нынешнем исполнении обсуждаемая функция направлена на повышение удобства пользователей.

Они также сообщили, что за несколько дней до поста Lasq обновили системы обнаружения кликджекинга. По мнению разработчиков, это должно устранить описанную проблему. Некоторые комментаторы заключили, что речь о новом подтверждении, которое теперь появляется при попытке поделиться контентом с третьих страниц.

Категории: Главное, Спам, Уязвимости