Ο ερευνητής ασφάλειας διαδικτυακών εφαρμογών, Prakhar Prasad, ανακάλυψε μια ευπάθεια ανοιχτής ανακατεύθυνσης στην ιστοσελίδα του Facebook Mobile (m.facebook.com).
Η ανοιχτή ανακατεύθυνση είναι μια εφαρμογή που παίρνει μια παράμετρο και ανακατευθύνει τον χρήστη στην τιμή της παραμέτρου χωρίς επικύρωση.
Αυτό το θέμα ευπάθειας χρησιμοποιείται σε επιθέσεις phishing ώστε να ανακατευθύνει τους χρήστες σε κακόβουλες ιστοσελίδες χωρίς να το αντιλαμβάνονται.
Συνήθως, όταν προσπαθείτε να επισκεφθείτε εξωτερικούς συνδέσμους του Facebook , το url θα περάσει πρώτα στη σελίδα “l.php” που θα εμφανίσει ένα μήνυμα το οποίο αναφέρει ότι φεύγετε από τη σελίδα του Facebook και έπειτα θα πραγματοποιήσει τον αναπροσανατολισμό.
Έτσι, αν ο σύνδεσμος είναι κακόβουλος, η σελίδα θα εμφανίσει την προειδοποίηση.
Αλλά, ο Prasad ανακάλυψε ότι μια από τις σελίδες του Facebook για κινητό, ανακατευθύνει τον χρήστη απευθείας στον εξωτερικό σύνδεσμο... POC:
Ο ερευνητής εντόπισε αυτή την ευπάθεια, όταν προσπάθησε να δει ένα βίντεο μέσω της σελίδας του Facebook mobile.
Τέλος, ενημέρωσε την υπηρεσία κοινωνικής δικτύωσης, η οποία επιδιόρθωσε άμεσα την ευπάθεια και αντάμειψε τον ερευνητή με το ποσό των 500 δολαρίων.
secnews.gr
Δεν υπάρχουν σχόλια :
Δημοσίευση σχολίου