Le nouveau dilemme de Facebook, silencieusement corrigé

article

Facebook a récemment corrigé en silence une vulnérabilité qui permettait aux sites tiers d'extraire les informations des utilisateurs sans demander le consentement préalable d'utilisateurs individuels. L'extraction de données agrégée inclut les «j'aime» de l'utilisateur et toutes ses sous-catégories. Il est regrettable que 2018 ne soit pas une bonne année pour Facebook. Après les 30 millions de comptes Facebook  piratés au cours des mois précédents, les répliques subsistent encore.


«Pour que cette attaque fonctionne, nous devons inciter un utilisateur de Facebook à ouvrir notre site malveillant et à cliquer n'importe où sur le site (il peut s'agir de n'importe quel site sur lequel nous pouvons exécuter JavaScript), ce qui nous permet d'ouvrir une fenêtre contextuelle ou un nouvel onglet vers la page de recherche Facebook , forçant l'utilisateur à exécuter toute requête de recherche souhaitée. Le nombre d'éléments iframe sur la page reflétant le nombre de résultats de la recherche, vous pouvez simplement les compter en accédant à la propriété fb.frames.length. En manipulant la recherche graphique de Facebook, il est possible de créer des requêtes de recherche qui reflètent des informations personnelles sur l'utilisateur », a expliqué Ron Masas, chercheur en sécurité chez Imperva.


Ce type de manipulation d’entrée de données n’a rien de nouveau, également connu sous le nom d’attaque par falsification de requête intersite. Cependant, cela montre à quel point les ingénieurs de Facebook, en particulier leurs webmasters, ont fait preuve de laxisme en matière de sécurité.


«Ce processus peut être répété sans qu'il soit nécessaire d'ouvrir de nouvelles fenêtres contextuelles ou de nouveaux onglets, car l'attaquant peut contrôler la propriété location de la fenêtre Facebook. Cela est particulièrement dangereux pour les utilisateurs mobiles car l'onglet ouvert peut facilement se perdre en arrière-plan, ce qui permet à l'attaquant d'extraire les résultats de plusieurs requêtes pendant qu'il regarde une vidéo ou lit un article sur le site de l'attaquant », a ajouté Masas.


Facebook a pleinement reconnu le bogue dans leur système et a reconnu l'aide de la communauté pour maintenir le site aussi sécurisé que possible. «Nous avons corrigé le problème dans notre page de recherche et n'avons constaté aucun abus. Le comportement sous-jacent n'étant pas spécifique à Facebook, nous avons formulé des recommandations à l'intention des fabricants de navigateurs et des groupes de normes Web concernés pour les inciter à prendre des mesures pour empêcher ce type de problème de se produire dans d'autres applications Web », a expliqué un représentant de Facebook.


«Cela permettait aux informations de traverser des domaines - ce qui signifie essentiellement que si un utilisateur visite un site Web particulier, un attaquant peut ouvrir Facebook et collecter des informations sur l'utilisateur et ses amis. La vulnérabilité a exposé les intérêts de l'utilisateur et de leurs amis, même si leurs paramètres de confidentialité ont été définis de manière à ce que ces intérêts ne soient visibles que par les amis de l'utilisateur », a conclu Masas.


Avec cet épisode, les chercheurs en sécurité travaillent très fort pour découvrir de nouvelles vulnérabilités avec le géant des médias sociaux. Facebook devra peut-être augmenter les récompenses fournies par son programme de chasseurs de primes, car seules des tierces parties peuvent aider l'entreprise à découvrir des vulnérabilités qui ne peuvent pas être détectées par leurs développeurs.