Breaking News

พบบั้ก Clickjacking ทำให้สามารถโพสต์ Facebook ของ เหยื่อได้

ผู้เชี่ยวชาญด้านความมั่นคงปลอดภัยรายหนึ่งแสดงวิธีการที่คนร้ายทำการโพสต์สแปมบนหน้า Wall ของ Facebook เหยื่อได้ โดยอาศัยบั้กที่ชื่อว่า Clickjacking ที่ถูกรายงานเข้าไปนานแล้วแต่ทาง Facebook ไม่ยอมแก้เพราะอ้างว่าไม่ได้กระทบกับการเปลี่ยนแปลงสถานะของบัญชีผู้ใช้

credit : Bleepingcomputer

ผู้เชี่ยวชาญได้เริ่มสืบถึงแคมเปญการโพสต์สแปมนี้หลังจากที่เพื่อนหลายรายใน Facebook เริ่มมีการโพสต์ลิงก์ไปยังเว็บไซต์ที่มีภาพตลก โดยหลังจากทดสอบเข้าลิงก์เพื่อดูเนื้อหาก็พบว่าเว็บไซต์จะมีการประกาศความยินยอมเรื่องของอายุอย่างน้อย 16 ปี ผู้เชี่ยวชาญเผยในบล็อกส่วนตัวว่า “หากเหยื่อกดปุ่มจะถูก Redirect ไปยังเพจที่มีภาพตลก (แถมโฆษณาเพียบ) รวมถึงลิงก์ที่เหยื่อคลิกก็จะถูกโพสต์บนหน้า Wall ของเหยื่อด้วย” หลังจากนั้นผู้เชี่ยวชาญได้ไปพบกับ iFrame tag ที่ภายในมีลิงก์ต่างๆ และ URL สำหรับการแชร์ไปหน้า Facebook ด้วย (ตามภาพด้านล่าง)

credit : Bleepingcomputer

อย่างไรก็ตามวิธีการนี้จะใช้ได้กับผู้ใช้งานมือถือที่เปิดการแชร์ได้เท่านั้นและไม่มีผลกระทบกับ Facebook บนเดสก์ท็อปแต่อย่างใด ซึ่งสาเหตุอาจเกิดการที่แอป Facebook บนมือถือละเลย X-Frame-Options ในส่วน Header ฝั่งที่ได้รับกลับมา (มีหน้าที่บอกว่าควรจะโหลดเว็บใน iFrame หรือไม่) โดยการที่ Facebook ไม่ยอมแก้ไขปัญหานี้เพราะอ้างว่าไม่มีผลต่อสถานะของบัญชีผู้ใช้ทำให้ผู้เชี่ยวชาญออกอาการไม่เห็นด้วยอย่างมากเพราะตระหนักว่าอาจมีการนำไปใช้เพื่อทำที่เป็นอันตรายกว่าในอนาคตได้

ที่มา: https://www.bleepingcomputer.com/news/security/the-clickjacking-bug-that-facebook-wont-fix/ และ https://www.zdnet.com/article/researcher-publishes-proof-of-concept-code-for-creating-facebook-worm/


About nattakon

จบการศึกษา ปริญญาตรีและโท สาขาวิศวกรรมคอมพิวเตอร์ KMITL เคยทำงานด้าน Engineer/Presale ดูแลผลิตภัณฑ์ด้าน Network Security และ Public Cloud ในประเทศ ปัจจุบันเป็นนักเขียน Full-time ที่ TechTalkThai

Check Also

Facebook เผยพบ Password ผู้ใช้งานถูกเก็บแบบ Plain Text หลายร้อยล้านราย ตอนนี้แก้ไขแล้ว

Facebook ได้ออกมาเผยว่าเมื่อเดือนมกราคม 2019 ที่ผ่านมา ทีมงานภายใน Facebook ได้มีการทำ Security Review และพบว่ามี Password ของผู้ใช้งานจำนวนหลายร้อยล้านรายการถูกเก็บเป็นแบบ Plain Text โดยมีพนักงานภายใน Facebook เท่านั้นที่สามารถเข้าถึงข้อมูลเหล่านี้ได้ ซึ่งปัจจุบันทาง Facebook ได้ดำเนินการแก้ไขปัญหาแล้วและมีแผนที่จะแจ้งเตือนลูกค้าผู้ใช้งาน ในขณะที่ KrebsOnSecurity ก็ได้ออกมาเปิดเผยข้อมูลเชิงลึกของเหตุครั้งนี้เพิ่มเติม

Alibaba Cloud อายุครบรอบ 10 ปี เผยแผนเตรียมย้ายระบบ IT ทั้งหมดของ Alibaba ขึ้น Cloud 100%

ในงาน 2019 Cloud Summit โดย Alibaba Cloud ได้ออกมากล่าวถึงการครบรอบ 10 ปี พร้อมเผยถึงแผนการย้ายระบบ IT ทั้งหมดในธุรกิจของเครือ Alibaba ขึ้นไปอยู่บน Public Cloud ให้ได้ 100% ทั้งหมดภายใน 1-2 ปีนับถัดจากนี้ พร้อมแผนขยายตลาดรุกฮ่องกงและเอเชียตะวันออกเฉียงใต้