Nová závažná zraniteľnosť Facebooku

Penetračný tester objavil bezpečnostnú chybu, ktorá umožňuje odoslať komukoľvek v sociálnej sieti Facebook škodlivé aplikácie.

Nathan Power, senior security penetration tester a technologický konzultant CDW objavil zraniteľnosť a publikoval ju verejne vo štvrtok na svojom blogu. Facebook bol o zraniteľnosti upovedomený už 30. septembra a pochybenie priznal.

Zraniteľnosť spočíva v odosielaní správ rôznym používateľom Facebooku. Za normálnych okolností vám Facebook nedovolí pridať k správe prílohu v podobe spustiteľného súboru. Odosielateľ bude informovaný chybovým hlásením: „Chyba nahrávania: Nemôžete pridávať súbory tohto typu.“

Power však prišiel na spôsob akým oklamať kontrolu Facebooku. Analýza požiadavky POST, ktorá bola odosielaná na servery Facebooku, poukázala na premennú „filename.“ Tá má rozhodujúci vplyv na to, či bude alebo nebude odoslanie súboru akceptované. Power modifikoval premennú tesne za názvom, a tak dosiahol, že spustiteľný súbor mohol byť pripojený a akceptovaný.

Riziko je značné i vďaka tomu, že správy si je možné vymieňať aj medzi ľuďmi, ktorí si navzájom nepotvrdili priateľstvo. Útočník tak môže využiť techniky sociálneho inžinierstva a ľahko prinútiť obeť k spusteniu škodlivej prílohy.

Zdroj: computerworld.com