Onderzoeker plaatst proof-of-concept code voor Facebook-worm

Een Poolse veiligheidsonderzoeker heeft vandaag details en proof-of-concept code vrijgegeven die gebruikt kan worden om een volledig functionerende Facebook-worm mee te maken. De code maakt misbruik van een kwetsbaarheid binnen Facebook die al misbruikt zou worden door spammers.

De kwetsbaarheid heeft te maken met de mobiele versie van Facebook en dan specifiek met de pop-up die in beeld verschijnt als iemand een bericht wil delen. De desktopversie heeft volgens de Poolse onderzoeker, die onder het pseudoniem Lasq door het leven gaat, niet te maken met het probleem.

Clickjacking

Binnen het venster bestaat volgens Lasq een clickjacking kwetsbaarheid die via iframe-elementen misbruikt kan worden. Er is een groep spammers die volgens Lasq de kwetsbaarheid gevonden heeft en hem ook misbruikt om links op de Facebook-tijdlijn van mensen te plaatsen.

Op zijn site schrijft Lasq wat er aan de hand was. Een aantal vrienden van hem deelden ineens een link naar een Franse site met grappige afbeeldingen. De link leek gehost te zijn op een AWS-bucket. Nadat je op de link klikt, verschijnt de site in beeld, die in het Frans vraagt of je ouder dan zestien bent. Als je dan op de knop klikt om je leeftijd te bevestigen, word je herleid tot een pagina met een grappige comic en verschijnt de link automatisch op je tijdlijn.

Volgens de onderzoeker heeft dat te maken met Facebook dat de X-Frame-Options security header voor het mobiele deelvenster negeert. Die header moet eigenlijk gebruikt worden om te voorkomen dat er code geladen wordt binnen iframes en is de voornaamste beschermingsmaatregel tegen clickjacking.

Facebook doet niets?

Lasq schrijft verder contact opgenomen te hebben met Facebook. Dat wilde het probleem volgens hem niet oplossen omdat er geen sprake zou zijn van een veiligheidsprobleem. “Ze stelden dat, voordat clickjacking als veiligheidsprobleem gezien kan worden, de aanvaller op de een of andere manier wijzigingen in de account moet kunnen aanbrengen”.

Aangezien dat niet kan, zou Facebook hebben geweigerd. De onderzoeker vindt het maar niets: “Ditmaal wordt het alleen misbruikt voor spam, maar ik kan me ook manieren voorstellen om deze techniek verfijnder in te zetten.” Tegen ZDNet laat een woordvoerder van Facebook weten dat er juist bewust gekozen is om iframes toe te staan, zodat mensen Facebook-deelvensters kunnen plaatsen op hun sites. “Om misbruik te helpen voorkomen, gebruiken we systemen die clickjacking detecteren.”