Su Facebook è stata segnalata un’altra vulnerabilità di sicurezza che avrebbe potuto consentire agli aggressori di ottenere determinate informazioni personali sugli utenti e i loro amici, mettendo potenzialmente a rischio la privacy degli utenti del social network più famoso del mondo.
Secondo Ron Masas, ricercatore di Imperva, la pagina che visualizza i risultati di ricerca include elementi iFrame associati a ciascun risultato, in cui gli URL endpoint di quegli iFrame non disponevano di alcun meccanismo di protezione per proteggersi dagli attacchi CSRF (cross-site request forgery)
Per sfruttare questa vulnerabilità, tutto ciò che un utente malintenzionato deve fare è semplicemente indurre gli utenti a visitare un sito dannoso sul proprio browser Web in cui hanno già effettuato l’accesso ai loro account Facebook
“Affinché questo attacco funzioni, dobbiamo ingannare un utente di Facebook per aprire il nostro sito malevolo e fare clic in qualsiasi punto del sito, (questo può essere qualsiasi sito su cui possiamo eseguire JavaScript) permettendoci di aprire un popup o una nuova scheda su Facebook pagina di ricerca, costringendo l’utente a eseguire qualsiasi query di ricerca che vogliamo “, ha spiegato Masas in un post sul blog pubblicato oggi.
Ma se usato correttamente, la funzione di ricerca di Facebook potrebbe essere sfruttata per estrarre informazioni sensibili relative al tuo account Facebook, come il controllo:
- Se hai un amico con un nome specifico o una parola chiave nel suo nome
- Se ti piace una pagina specifica o sei membro di un gruppo specifico
- Se hai un amico a cui piace una determinata pagina
- Se hai scattato foto in un determinato luogo o paese
- Se hai mai postato una foto scattata in determinati luoghi / paesi
- Se hai mai pubblicato un aggiornamento sulla tua timeline contenente uno specifico testo / parola chiave
- Se hai amici islamici
