พบบั้ก Clickjacking ทำให้สามารถโพสต์ Facebook ของ เหยื่อได้

ผู้เชี่ยวชาญด้านความมั่นคงปลอดภัยรายหนึ่งแสดงวิธีการที่คนร้ายทำการโพสต์สแปมบนหน้า Wall ของ Facebook เหยื่อได้ โดยอาศัยบั้กที่ชื่อว่า Clickjacking ที่ถูกรายงานเข้าไปนานแล้วแต่ทาง Facebook ไม่ยอมแก้เพราะอ้างว่าไม่ได้กระทบกับการเปลี่ยนแปลงสถานะของบัญชีผู้ใช้

credit : Bleepingcomputer

ผู้เชี่ยวชาญได้เริ่มสืบถึงแคมเปญการโพสต์สแปมนี้หลังจากที่เพื่อนหลายรายใน Facebook เริ่มมีการโพสต์ลิงก์ไปยังเว็บไซต์ที่มีภาพตลก โดยหลังจากทดสอบเข้าลิงก์เพื่อดูเนื้อหาก็พบว่าเว็บไซต์จะมีการประกาศความยินยอมเรื่องของอายุอย่างน้อย 16 ปี ผู้เชี่ยวชาญเผยในบล็อกส่วนตัวว่า “หากเหยื่อกดปุ่มจะถูก Redirect ไปยังเพจที่มีภาพตลก (แถมโฆษณาเพียบ) รวมถึงลิงก์ที่เหยื่อคลิกก็จะถูกโพสต์บนหน้า Wall ของเหยื่อด้วย” หลังจากนั้นผู้เชี่ยวชาญได้ไปพบกับ iFrame tag ที่ภายในมีลิงก์ต่างๆ และ URL สำหรับการแชร์ไปหน้า Facebook ด้วย (ตามภาพด้านล่าง)

credit : Bleepingcomputer

อย่างไรก็ตามวิธีการนี้จะใช้ได้กับผู้ใช้งานมือถือที่เปิดการแชร์ได้เท่านั้นและไม่มีผลกระทบกับ Facebook บนเดสก์ท็อปแต่อย่างใด ซึ่งสาเหตุอาจเกิดการที่แอป Facebook บนมือถือละเลย X-Frame-Options ในส่วน Header ฝั่งที่ได้รับกลับมา (มีหน้าที่บอกว่าควรจะโหลดเว็บใน iFrame หรือไม่) โดยการที่ Facebook ไม่ยอมแก้ไขปัญหานี้เพราะอ้างว่าไม่มีผลต่อสถานะของบัญชีผู้ใช้ทำให้ผู้เชี่ยวชาญออกอาการไม่เห็นด้วยอย่างมากเพราะตระหนักว่าอาจมีการนำไปใช้เพื่อทำที่เป็นอันตรายกว่าในอนาคตได้

ที่มา: https://www.bleepingcomputer.com/news/security/the-clickjacking-bug-that-facebook-wont-fix/ และ https://www.zdnet.com/article/researcher-publishes-proof-of-concept-code-for-creating-facebook-worm/

About nattakon

จบการศึกษา ปริญญาตรีและโท สาขาวิศวกรรมคอมพิวเตอร์ KMITL เคยทำงานด้าน Engineer/Presale ดูแลผลิตภัณฑ์ด้าน Network Security และ Public Cloud ในประเทศ ปัจจุบันเป็นนักเขียน Full-time ที่ TechTalkThai

Check Also

Tenable จับมือ Anthropic เข้าร่วม “Project Glasswing” ยกระดับการป้องกันไซเบอร์ในยุค AI [Guest Post]

การเข้าร่วม Project Glasswing และการได้ร่วมทำงานกับ Claude Mythos Preview ในครั้งนี้ จะช่วยให้ Tenable สามารถสนับสนุนลูกค้าให้เข้าใจพฤติกรรมของโมเดล AI ระดับแนวหน้า (Frontier AI) …

Amazon เตรียมปลดระวาง Mechanical Turk ไม่รับผู้ใช้งานเพิ่มแล้ว

Amazon Web Services (AWS) ได้ยุติการรับลูกค้าใหม่สำหรับบริการที่มีอายุเก่าแก่หลายทศวรรษอย่าง Mechanical Turk เป็นที่เรียบร้อยแล้ว ซึ่งนับเป็นสัญญาณเตือนถึงจุดสิ้นสุดของแพลตฟอร์มตลาดแรงงานแบบคราวด์ซอร์สรุ่นบุกเบิกนี้