Investigadores de segurança da Imperva comunicaram uma nova falha do Facebook que poderia ter exposto informações privadas dos utilizadores e dos seus e amigos na rede social.

Uma nova vulnerabilidade de segurança foi comunicada ao Facebook, a falha poderia ter sido explorada por criminosos de forma a obter certas informações pessoais sobre utilizadores e amigos da sua rede de contatos.

Esta vulnerabilidade na gigante tecnológica levanta mais uma vez uma série de preocupações com a privacidade da informação dos utilizadores da rede social.

A vulnerabilidade foi descoberta por investigadores da Imperva, e reside no modo como o recurso de pesquisa do Facebook exibe resultados para consultas fornecidas pelos utilizadores.

A página usada para exibir os resultados das consultas dos utilizadores inclui elementos iFrame associados a cada resultado.  Os investigadores descobriram que as URLs associadas a esses iFrames são vulneráveis a ataques cross-site request forgery  (CSRF).

O website inclui um código javascript que será executado em segundo plano quando a vítima clicar em qualquer lugar da página.

“For this attack to work we need to trick a Facebook user to open our malicious site and click anywhere on the site, (this can be any site we can run JavaScript on) allowing us to open a popup or a new tab to the Facebook search page, forcing the user to execute any search query we want.” reads the analysis published by Imperva.

“Since the number of iframe elements on the page reflects the number of search results, we can simply count them by accessing the fb.frames.length property.

By manipulating Facebook’s graph search, it’s possible to craft search queries that reflect personal information about the user.”

 

Ao efetuar uma pesquisa do tipo “pages I like named Imperva”, os investigadores repararam que a rede social é forçada a retornar um resultado caso o utilizador tenha “gostado” da página Imperva, ou retorna zero em caso contrário.

Facebook-Bug

 

Segundo os autores, foi possível extrair dados sobre amigos do utilizadores. Alguns exemplos foram deixados pelos investigadores:

  • Check if the current Facebook users have friends from Israel: https://www.facebook.com/search/me/friends/108099562543414/home-residents/intersect
  • Check if the user has friends named “Ron”: https://www.facebook.com/search/str/ron/users-named/me/friends/intersect
  • Check if the user has taken photos in certain locations/countries: https://www.facebook.com/search/me/photos/108099562543414/photos-in/intersect
  • Check if the current user has Islamic friends: https://www.facebook.com/search/me/friends/109523995740640/users-religious-view/intersect
  • Check if the current user has Islamic friends who live in the UK: https://www.facebook.com/search/me/friends/109523995740640/users-religious-view/106078429431815/residents/present/intersect
  • Check if the current user wrote a post that contains a specific text: https://www.facebook.com/search/posts/?filters_rp_author=%7B%22name%22%3A%22author_me%22%2C%22args%22%3A%22%22%7D&q=cute%20puppies
  • Check if the current user’s friends wrote a post that contains a specific text: https://www.facebook.com/search/posts/?filters_rp_author=%7B%22name%22%3A%22author_friends%22%2C%22args%22%3A%22%22%7D&q=cute%20puppies

 

Os investigadores também disponibilizaram a PoC da sua investigação:

 

O processo pode ser repetido sem a necessidade de abrir novos popups ou abas, pois o atacante pode controlar a propriedade de localização da janela do Facebook usando o seguinte código:

 

Os especialistas apontaram que os utilizadores de dispositivos móveis são as vítimas particularmente expostas a esse tipo de ataque, porque é fácil para eles esquecerem-se de janelas abertas em segundo plano, permitindo que os atacantes extraviem os resultados de várias consultas.

A Imperva comunicou a falha ao Facebook por meio do programa de divulgação de vulnerabilidades da empresa em maio de 2018, e a rede social resolveu o problema em poucos dias implementando as proteções do CSRF.

A boa notícia para os utilizadores do Facebook é que essa falha já foi corrigida e não permitiu que os atacantes realizassem exfiltração de dados pessoais da rede social.


Deixe um comentário

O seu endereço de email não será publicado. Campos obrigatórios marcados com *