พบบั้ก Clickjacking ทำให้สามารถโพสต์ Facebook ของ เหยื่อได้

ผู้เชี่ยวชาญด้านความมั่นคงปลอดภัยรายหนึ่งแสดงวิธีการที่คนร้ายทำการโพสต์สแปมบนหน้า Wall ของ Facebook เหยื่อได้ โดยอาศัยบั้กที่ชื่อว่า Clickjacking ที่ถูกรายงานเข้าไปนานแล้วแต่ทาง Facebook ไม่ยอมแก้เพราะอ้างว่าไม่ได้กระทบกับการเปลี่ยนแปลงสถานะของบัญชีผู้ใช้

credit : Bleepingcomputer

ผู้เชี่ยวชาญได้เริ่มสืบถึงแคมเปญการโพสต์สแปมนี้หลังจากที่เพื่อนหลายรายใน Facebook เริ่มมีการโพสต์ลิงก์ไปยังเว็บไซต์ที่มีภาพตลก โดยหลังจากทดสอบเข้าลิงก์เพื่อดูเนื้อหาก็พบว่าเว็บไซต์จะมีการประกาศความยินยอมเรื่องของอายุอย่างน้อย 16 ปี ผู้เชี่ยวชาญเผยในบล็อกส่วนตัวว่า “หากเหยื่อกดปุ่มจะถูก Redirect ไปยังเพจที่มีภาพตลก (แถมโฆษณาเพียบ) รวมถึงลิงก์ที่เหยื่อคลิกก็จะถูกโพสต์บนหน้า Wall ของเหยื่อด้วย” หลังจากนั้นผู้เชี่ยวชาญได้ไปพบกับ iFrame tag ที่ภายในมีลิงก์ต่างๆ และ URL สำหรับการแชร์ไปหน้า Facebook ด้วย (ตามภาพด้านล่าง)

credit : Bleepingcomputer

อย่างไรก็ตามวิธีการนี้จะใช้ได้กับผู้ใช้งานมือถือที่เปิดการแชร์ได้เท่านั้นและไม่มีผลกระทบกับ Facebook บนเดสก์ท็อปแต่อย่างใด ซึ่งสาเหตุอาจเกิดการที่แอป Facebook บนมือถือละเลย X-Frame-Options ในส่วน Header ฝั่งที่ได้รับกลับมา (มีหน้าที่บอกว่าควรจะโหลดเว็บใน iFrame หรือไม่) โดยการที่ Facebook ไม่ยอมแก้ไขปัญหานี้เพราะอ้างว่าไม่มีผลต่อสถานะของบัญชีผู้ใช้ทำให้ผู้เชี่ยวชาญออกอาการไม่เห็นด้วยอย่างมากเพราะตระหนักว่าอาจมีการนำไปใช้เพื่อทำที่เป็นอันตรายกว่าในอนาคตได้

ที่มา: https://www.bleepingcomputer.com/news/security/the-clickjacking-bug-that-facebook-wont-fix/ และ https://www.zdnet.com/article/researcher-publishes-proof-of-concept-code-for-creating-facebook-worm/


About nattakon

จบการศึกษา ปริญญาตรีและโท สาขาวิศวกรรมคอมพิวเตอร์ KMITL เคยทำงานด้าน Engineer/Presale ดูแลผลิตภัณฑ์ด้าน Network Security และ Public Cloud ในประเทศ ปัจจุบันเป็นนักเขียน Full-time ที่ TechTalkThai

Check Also

NSS Labs ออกผลทดสอบ SD-WAN Group Test ประจำปี 2019

NSS Labs บริษัทวิจัยและที่ปรึกษาด้านความมั่นคงปลอดภัย ออกรายงานผลการทดสอบ Software–defined WAN (SD-WAN) Group Test ประจำปี 2019 พร้อม Network Value Map …

ISSP ขอเชิญทุกท่านเข้าร่วมงาน “Transforming Your Legacy Infrastructure to be CLOUD!” “เปลี่ยนข้อจำกัดโครงสร้างพื้นฐานแบบเดิมในองค์กรของคุณ ด้วยโซลูชั่นของเรา เพื่อปรับโครงสร้างพื้นฐานขององค์กรให้เป็น Cloud Datacenter ที่พร้อมรับมือกับงานไอทีขององค์กร

ISSP ขอเรียนเชิญร่วมงานสัมมนา “Transforming Your Legacy Infrastructure to be CLOUD!” ในวันพฤหัสบดี ที่ 18 กรกฎาคม 2562 ณ โรงแรม ห้อง Ballroom B โรงแรม The Westin Grande Sukhumvit รายละเอียดงานตาม Agenda ดังนี้