کشف آسیب پذیری جدید در فیسبوک

در فیس بوک یک آسیب‌پذیری پیدا شده است که امکان جمع ‌آوری اطلاعات خصوصی از کاربران فیس بوک را به مهاجمان می‌دهد.

Ron Masas، محقق امنیتی Imperva، در حین جستجوی نتایج آنلاین فیس بوک، این مساله را در سیستم جستجوی فیس بوک کشف کرد و متوجه شد که هر نتیجه حاوی یک المان iframe است که برای ردیابی داخلی فیس بوک استفاده می‌شود.با خواندن iframe  ها، او دریافت که ” اغلب نقاط جستجو، از جعل درخواست از سایت (CSRF) محافظت نشده است، که به طور معمول به کاربران اجازه می‌دهد تا نتایج جستجو را از طریق یک URL  به اشتراک بگذارند.”

Masas به ZDNet می گوید که اطلاعاتی چون، کاربرانی که یک صفحه خاص را دوست دارند، آنهایی که در مکان های جغرافیایی خاصی عکس گرفته اند،  دوستانی از مذهب خاصی در لیست دوستان خود داشته باشند، پست ها را با یک متن خاص به اشتراک گذاشته باشند، کاربرانی که دوستانی با نام خاص دارند، دوست دارند در یک شهر یا کشور خاص زندگی کنند و بسیاری دیگر از اطلاعات و جزییات حساس را می تواند استنتاج کند.

برای نشان دادن حمله،  او یک سایت مخرب ایجاد کرد که صفحه جستجوی فیس بوک را باز می کند و سپس باید کاربر را مجبور به اجرای نمایش های جستجو کند. همچنین وی با دستکاری در جستجوی فیس بوک گفت: این امکان وجود دارد که پرس و جوهای جستجو شده و بازتاب رفتار کاربر را نشان داد. این موضوع به خصوص برای کاربران تلفن همراه خطرناک است چون یک نوار باز می‌تواند به راحتی در پس‌زمینه گم شود، و به حمله‌کننده اجازه می‌دهد زمانی که که کاربر یک ویدئو را تماشا می‌کند یا مقاله‌ای در سایت حمله‌کننده می‌خواند، نتایج پرس و جوهای چندگانه را استخراج کند.

 Masas این آسیب‌پذیری را در ماه مه ۲۰۱۸ به فیس بوک گزارش کرد و این مساله اکنون حل شده است.

هکر ها اخیرا یک آسیب پذیری روز صفر را  در فیس بوک گزارش کردند که منجر سرقت ۲۹ میلیون حساب‌ کاربری می شود و این آسیب پذیری می تواند اطلاعاتی از قبیل اعتبار امنیتی برای یک نشست ورود به سیستم، هویت کاربر و مجوز ها را نشان دهد.