کشف یک نقص دیگر در فیس‌بوک و افشای اطلاعات شخصی کاربران

یک آسیب‌پذیری‌ امنیتی دیگر در فیس‌بوک گزارش شده است که می‌تواند مهاجمان را قادر به دریافت اطلاعات شخصی کاربران و دوستانشان کند که به‌طور بالقوه حفظ حریم خصوصی کاربران در این شبکه اجتماعی محبوب را در معرض خطر قرار داده است.

این آسیب‌پذیری که توسط محققان امنیتی سایبری از شرکت Imperva کشف شده است، در روشی قرار دارد که ویژگی جستجوی فیس‌بوک نتایج جستجو را برای درخواست‌های^(۱) وارد شده نمایش می‌دهد.

طبق گفته Ron Masas که یک محقق در Imperva است، صفحه‌ای که نتایج جستجو را نمایش می‌دهد شامل عناصر iFrame مرتبط با هر نتیجه است، درحالی‌که آدرس‌های پایانی^(۲) آن iFrameها برای حفاظت در برابر حملات جعلی درخواست‌های متقابل (CSRF⁽³⁾) هیچ مکانیزم محافظتی ندارند.

لازم به ذکر است که آسیب‌پذیری اخیراً گزارش‌شده در حال حاضر وصله شده است و برخلاف نقص کشف‌شده‌ی اخیر در فیس‌بوک[۱] که اطلاعات شخصی ۳۰ میلیون کاربر را افشا کرده بود[۲]، این آسیب‌پذیری به مهاجمان اجازه نداده است که یک‌باره اطلاعات را از حساب‌های تعداد زیادی از کاربران استخراج کنند.

چگونه آسیب‌پذیری جستجوی فیس‌بوک کار می‌کند؟

برای بهره‌برداری از این آسیب‌پذیری، تمام ‌کاری که یک مهاجم باید انجام دهد این است که کاربران را فریب دهد تا از یک سایت موذی در مرورگر وب خود که قبلاً وارد حساب کاربری فیس‎بوکِ خود شده‌اند، بازدید کنند.

این سایت موذی حاوی یک کد جاوا اسکریپت است که در پس‌زمینه اجرا می‌شود و به‌محض اینکه قربانی در هر جایِ صفحه کلیک کند، اجرا می‌شود.

Masas در پست وبلاگ خود که در تاریخ ۱۳ نوامبر ۲۰۱۸ منتشر شده دراین‌باره گفته است[۳]: “برای این‌که این حمله عملی شود، ما باید یک کاربر فیس‌بوک را برای باز کردنِ سایت موذیِ آماده‌شده، فریب دهیم که بعد از باز کردن با کلیک بر روی هر قسمت این صفحه، کد موردنظر اجرا می‌شود (این سایت می‌تواند شامل هر سایتی باشد که ما بتوانیم جاوا اسکریپت را در آن اجرا کنیم) و به ما اجازه می‌دهد یک پنجره یا یک تب جدید برای صفحه جستجوی فیس‌بوک باز کنیم و کاربر را مجبور کنیم تا درخواست جستجوی موردنظر ما را اجرا کند.”

همان‌طور که توسط Masas در این ویدیو[۴] نشان داده شده است، کد جاوا اسکریپت یک تب جدید یا پنجره با یک URL فیس‌بوک باز می‌کند که درخواست‌های جستجوی از پیش تعریف‌شده‌ی مشخصی را اجرا می‌کند و نتایج را برای استخراج اطلاعات هدفمند ارزیابی می‌کند.

جستجو چیزی در فیس‌بوک به نظر می‌رسد کمتر سودآور باشد، به‌ویژه هنگامی‌که کد بهره‌بردار نتیجه را فقط با بله یا نه باز می‌گرداند.

Masas به پایگاه خبری The Hacker News دراین‌باره گفت: “این حمله عملاً تعدادی از نتایج جستجو را برای هر درخواست جستجو در حساب کاربری فیس‌بوکی که login شده است، فاش می‌کند.”

اما اگر از این ویژگی به‌درستی استفاده شود، ویژگی جستجوی فیس‌بوک را می‌توان برای استخراج اطلاعات حساس مرتبط با حساب فیس‌بوک خود مورد بهره‌برداری قرار داد؛ مانند موارد زیر:

• اگر شما دوستی با یک نام خاص یا کلمه کلیدی در نامش داشته باشید.
• اگر شما یک صفحه خاص را Like کرده باشید یا عضو یک گروه خاص باشید.
• اگر شما دوستی دارید که یک صفحه خاص را Like کرده باشد.
• اگر شما عکسی را در یک مکان یا کشور خاص گرفته باشید.
• اگر شما تابه‌حال یک عکس گرفته‌شده در یک مکان یا کشور خاص را پست کرده باشید.
• اگر تابه‌حال یک به‌روزرسانی در جدول زمانی خود که حاوی یک متن یا کلیدواژه است را پست کرده باشید.

و به همین ترتیب هر درخواست سفارشی می‌تواند بدین‌صورت عمل کند.

Masas افزود: “ازآنجاکه مهاجم می‌تواند مالکیت مکان پنجره فیس‌بوک را کنترل کند، این روند می‌تواند بدون نیاز به پنجره‌های جدید یا برگه‌هایی که جدیداً باز می‌شوند تکرار شود. این روند به‌خصوص برای کاربران تلفن همراه خطرناک است، زیرا برگه باز می‌تواند به‌راحتی در پس‌زمینه گم شود و به مهاجم این امکان را می‌دهد نتایج را برای چندین درخواست استخراج کند، درحالی‌که کاربر یک ویدیو را تماشا می‌کند یا یک مقاله را در سایت مهاجم می‌خواند.”

به‌طور خلاصه، این آسیب‌پذیری علایق و فعالیت‌های کاربرانِ مورد هدف و دوستان آن‌ها را افشا می‌کند، حتی درصورتی‌که تنظیمات حریم خصوصی آن‌ها به‌گونه‌ای تنظیم شده باشد که این اطلاعات فقط برای آن‌ها یا دوستانشان قابل‌مشاهده باشد.

Imperva این آسیب‌پذیری را به فیس‌بوک و از طریق برنامه آشکارسازی آسیب‌پذیری این شرکت در ماه می ۲۰۱۸ گزارش داد و این غول شبکه اجتماعی این آسیب‌پذیری را چند روز پس‌ازاین گزارش و با اضافه کردن محافظت از CSRF برطرف کرد.

تقریباً سه ماه پیش، Masas همچنین یک آسیب‌پذیری قابل‌توجه در مرورگر وب کروم را گزارش کرد[۵] که همه آن چیزی که پلتفرم‌های دیگر مانند فیس‌بوک و گوگل در مورد شما می‌دانند را افشا می‌کرد. او همچنین بهره‌بردار اثبات این ادعا را نیز منتشر کرد.

منابع

[۱] https://thehackernews.com/2018/09/facebook-account-hack.html

[۲] https://thehackernews.com/2018/10/hack-facebook-account.html

[۳] https://www.imperva.com/blog/facebook-privacy-bug

[۴] https://youtu.be/DebehDrXs_M

[۵] https://thehackernews.com/2018/08/google-chrome-vulnerability.html

[۶] https://thehackernews.com/2018/11/facebook-vulnerability-hack.html

(۱) queries
(۲) endpoint URLs
(۳) cross-site request forgery