Breaking News

พบช่องโหว่ CSRF บน Facebook อาจทำข้อมูลคุณหลุดสู่สาธารณะ

Ton Masas นักวิจัยด้านความมั่นคงปลอดภัยจาก Imperva ผู้ให้บริการโซลูชัน Web Security และ Data Security ชื่อดัง ออกมาเปิดเผยถึงอีกหนึ่งช่องโหว่บน Facebook ที่ช่วยให้แฮ็กเกอร์สามารถเข้าถึงข้อมูลส่วนบุคคลของผู้ใช้และรายชื่อเพื่อนได้ อย่างไรก็ตาม Facebook ได้ทำการอัปเดตแพตช์เพื่ออุดช่องโหว่เรียบร้อยแล้ว

Credit: JaysonPhotography/ShutterStock.com

ช่องโหว่ดังกล่าวถูกค้นพบบนกระบวนการแสดงผลลัพธ์การค้นหาผ่านทางฟีเจอร์ Facebook Search โดยหน้าเพจที่แสดงผลลัพธ์การค้นหาดังกล่าวจะประกอบด้วย iFrame ที่เกี่ยวข้องกับแต่ละผลลัพธ์ ซึ่ง Endpoint URL ของแต่ละ iFrame เหล่านั้นไม่มีกลไกในการป้องกันการโจมตีแบบ Cross-site Request Forgery (CSRF) ส่งผลให้แฮ็กเกอร์สามารถขโมยข้อมูลส่วนบุคคลของผู้ใช้ออกไปใช้

การโจมตีแบบ CSRF ผ่านช่องโหว่นี้ทำได้ไม่ยาก เพียงแค่ฝังโค้ด JavaScript ที่พร้อมรันแบบ Background เมื่อมีการกดคลิกบนหน้าเพจลงไป แล้วหลอกให้เหยื่อที่ล็อกอิน Facebook ค้างไว้อยู่แล้วเข้าถึงหน้าเพจดังกล่าว เมื่อเหยื่อเผลอกดคลิกเมาส์ โค้ด JavaScript จะเปิดแท็บหรือหน้าต่างใหม่ขึ้นมาเพื่อเข้าถึง Facebook URL หนึ่งที่จะรันการค้นหาบางอย่างที่เตรียมไว้ แล้วตรวจสอบผลลัพธ์เพื่อถอดข้อมูลส่วนบุคคลของเหยื่อออกมา

ถึงแม้ว่าการค้นหาบน Facebook อาจจะไม่ได้ให้ข้อมูลมากนัก โดยเฉพาะเมื่อถามตอบแค่ Yes กับ No แต่ถ้าใช้อย่างถูกต้อง ฟีเจอร์ Facebook Search อาจถูกใช้เพื่อสกัดข้อมูลส่วนบุคคลที่เกี่ยวข้องกับ Facebook ของผู้ใช้ออกมาได้ ยกตัวอย่างคำถาม เช่น

  • ถ้าคุณมีเพื่อนชื่อนี้ หรือมีคำนี้ประกอบอยู่ในชื่อ
  • ถ้าคุณกด Like เพจหนึ่ง หรือเป็นสมาชิกของ Group หนึ่งอยู่
  • ถ้าคุณมีเพื่อนที่กด Like เพจหนึ่งอยู่
  • ถ้าคุณเคยถ่ายรูป ณ สถานที่หรือประเทศแห่งหนึ่ง
  • ถ้าคุณเคยโพสต์รูปภาพ ณ สถานที่หรือประเทศแห่งหนึ่ง
  • ถ้าคุณเคยโพสต์ข้อความบน Timeline ที่มีข้อความหรือคีย์เวิร์ดนี้ประกอบอยู่
  • ถ้าคุณมีเพื่อนนับถือศาสนาอิสลาม

Imperva ได้รายงานช่องโหว่นี้ไปยัง Facebook เมื่อเดือนพฤษภาคม 2018 ที่ผ่านมา ซึ่งทาง Facebook ก็ได้ออกแพตช์เพิ่มกลไกการป้องกัน CSRF เพื่อแก้ไขเพียงไม่กี่วันหลังจากนั้น

ที่มา: https://thehackernews.com/2018/11/facebook-vulnerability-hack.html


About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

Adobe แพตช์อุดช่องโหว่ร้ายแรงใน Illustrator แนะผู้ใช้อัปเดตด่วน

Adobe ได้ออกแพตช์ช่องโหว่ตามคาบของเดือนพฤศจิกาซึ่งแพตช์สำคัญในครั้งนี้คือโปรแกรม Illustrator ที่พบช่องโหว่ร้ายแรงและนำไปสู่การเกิด Remote Code Execution (RCE) ได้

Microsoft ออกแพตช์เดือนพฤศจิกายนแก้ไขช่องโหว่ 74 รายการ

แพตช์ทุกวันอังคารที่ 2 ของเดือนครั้งนี้ Microsoft ได้แก้ไขช่องโหว่กว่า 74 รายการ ซึ่ง 13 รายการมีระดับรุนแรงสูง ที่น่าสนใจคือช่องโหว่ Zero-day บน IE ที่มีรายงานพบการใช้โจมตีแล้ว …