Facebook ha chiuso una grave vulnerabilità di sicurezza che avrebbe permesso a siti Web dannosi di leggere i dati personali da parte dei visitatori che avevano effettuato l'accesso al sito di social network. Il difetto è stato scoperto da due studenti di nome Wang Rui e Zhou Li, che hanno trasmesso tutte le informazioni utili insieme ad un proof-of-concept di attacco alla società.
Wang Rui e Zhou Li hanno comunicato di aver trovato una vulnerabilità che permetteva a siti Web dannosi di accedere ai dati privati di un utente di Facebook connesso con il proprio account senza il suo consenso. Secondo Rui e Zhou, è stato possibile per qualsiasi sito web di impersonare altri siti che fossero stati autorizzati ad accedere ai dati degli utenti come il nome, sesso e la data di nascita. Inoltre, i ricercatori hanno trovato un modo per pubblicare il contenuto sulle bacheche di Facebook degli utenti in visita (sotto le mentite spoglie di siti Web legittimi) - un modo potenziale per diffondere malware e attacchi phishig.
La pagina quindi inganna l'utente facendo credere di essere sul sito legittimo di Facebook (falsa finestra di dialogo dei permessi per le applicazioni, una caratteristica che la stragrande maggioranza degli utenti di Facebook utilizza), permettendo di accedere a informazioni personali dell'utente, come data di nascita o l'indirizzo email. I siti di YouTube, NYTimes, Farmville o ESPN sarebbero tutti degni candidati per l'attacco. Ecco un video su YouTube da Rui e Zhou, dove si dimostra che la vulnerabilità. (Nota: non c'è nessun suono sul video).
La pagina quindi inganna l'utente facendo credere di essere sul sito legittimo di Facebook (falsa finestra di dialogo dei permessi per le applicazioni, una caratteristica che la stragrande maggioranza degli utenti di Facebook utilizza), permettendo di accedere a informazioni personali dell'utente, come data di nascita o l'indirizzo email. I siti di YouTube, NYTimes, Farmville o ESPN sarebbero tutti degni candidati per l'attacco. Ecco un video su YouTube da Rui e Zhou, dove si dimostra che la vulnerabilità. (Nota: non c'è nessun suono sul video).
"La vulnerabilità consente al sito web "maligno" di impersonare altri siti web per ingannare Facebook, e ottenere le stesse autorizzazioni di accesso ai dati su Facebook che quei siti ricevono. Bing.com di default ha il permesso di accedere alle informazioni di base tutti gli utenti Facebook 'come il nome, sesso, ecc, quindi il nostro sito web "maligno" è in grado di de-anonimizzare gli utenti rappresentando Bing.com. Inoltre, a causa di esigenze di business, ci sono molti siti web chiede più permessi, compresi l'accesso ai dati privati di un utente, e la pubblicazione di contenuti su Facebook a nome suo. Pertanto, rappresentando questi siti, il nostro sito può ottenere le stesse autorizzazioni per rubare i dati privati o inviare messaggi di phishing su Facebook a nome dell'utente. L'exploit è generica, quindi non abbiamo bisogno di scrivere un exploit per ogni applicazione Facebook / sito web. L'unico parametro che ci serve è l'ID di applicazione di una applicazione Facebook / sito web."
L'esperto della società Sophos di sicurezza Graham Cluley è stato contattato dai due studenti circa la vulnerabilità. Cluley ha sperimentato la scorsa settimana su un sito di prova creato per lui da Zhou e Rui, ma non è riuscito ad imitare ciò che si vede nel video. Il sito web demo non è stato in grado di estrarre il nome del suo account Facebook di prova, visualizzando una finestra di "fallito" dialogo quando ha cercato di inviare un post sulla bacheca di Facebook. Probabilmente non ha funzionato perché l'esperto aveva applicato alcune impostazioni sulla privacy abbastanza rigide per il suo account di prova, e abbastanza sicuro ha provato nuovamente (dopo aver installato l'applicazione Facebook ESPN sul suo account di prova). In quel caso l'applicazione è stata in grado di estrarre il suo nome, l'indirizzo e-mail e postare un "link" malevolo apparentemente tramite l'applicazione.
La buona notizia è che gli studenti hanno praticato una divulgazione responsabile e informato il team di sicurezza di Facebook riguardo il difetto, piuttosto che rilasciare dettagli a tutti quanti su come sfruttare i profili degli utenti. Bug di divulgazione di informazioni di questo tipo spesso derivano da attacchi web-based, come cross-site scripting e falsificazione delle richieste cross-site. In questo caso, tuttavia, la vulnerabilità deriva da un bug in uno dei meccanismi di autenticazione di Facebook, ha spiegato Rui.
"L'exploit è generico, quindi non abbiamo bisogno di scrivere un exploit per ogni applicazione Facebook / sito web. L'unico parametro che ci serve è l'ID app di una applicazione Facebook / sito web", hanno detto i due ricercatori. Facebook Security risposto con prontezza, e dovrebbe essere applaudito per la fissazione della vulnerabilità in tempi rapidissimi una volta che sono stati informati. I loro nomi sono stati aggiunti alla lista dei "ringraziamenti" sulla pagina Facebook di sicurezza.
I due ricercatori in precedenza hanno scoperto una serie di attacchi a canale laterale che coinvolgono applicazioni web. La vulnerabilità è stata confermata solo nei casi in cui un utente di Facebook avesse permesso le applicazioni. L'installazione di un lettore basato su browser Flash è un altro presupposto necessario per tirare fuori l'attacco.
"Chiaramente il sito di Facebook è un complesso di software, ed è quasi inevitabile che le vulnerabilità e i bug vengano trovati di volta in volta", ha sottolineato Graham Cluley, senior technology consultant di Sophos e una delle persone che hanno avuto la possibilità di testare la vulnerabilità di prima mano. "Il rischio è aggravato dal fatto che ci siano così tante personali informazioni sensibili degli utenti trattenuti dal sito - mettendo potenzialmente molte persone a rischio", ha aggiunto. Noi consigliamo di prestare attenzione alle informazioni che condividete sul sito ed in particolare quando utilizzate un'applicazione. Il sito di Facebook è già stato in passato affetto da vulnerabilità di sicurezza e per farsi un'idea è sufficiente andare a questo indirizzo.
Nessun commento:
Posta un commento