Gündem

Clickjacking Bug – Facebook Bunu Kasten Düzeltmedi

Facebook’ta spam bir kampanyaya maruz kalan bir siber güvenlik uzmanı bunu yapan kimselerin yöntemini buldu ve şirketin bug bounty programınca bir rapor yolladı. Sorun halen devam etmekte çünkü Facebook, hesabın durumunu değiştirmediği gerekçesiyle bunu görmezden geldi.

Kavram ispat kodu, bir uygulama geliştiricisi için keyfekeder linkleri Facebook üzerinden dağıtmanın ne kadar kolay olabileceğini gösteriyor.

Spam kampanya merak celbediyor

Siber güvenlik uzmanı, birçok arkadaşının komik fotoğraflı bir siteye yönlendiren bir linki paylaştıklarından sonra bu spam kampanyayı incelemeye başlıyor. Komik elemanın içeriğine gelmeden önce kullanıcılar 16 yaşından büyük olduklarını doğrulamak zorundalar.

“Butona tıkladıktan sonra aslında komik resimli ve birçok reklamlı bir sayfaya yönlendiriliyorsun. Bununla birlikte bunlar olurken az önce tıkladığın aynı link Facebook’unda beliriveriyor.” diyor siber güvenlik uzmanı dünkü blog yazısında.

Kaynaktaki bir iFrame tag’ı iyice evhamı arttırıyor ve siber güvenlik uzmanının onu incelemesine karar verdirtiyor. iFrame’in Facebook’ta içerik paylaşma URL’sinin yanısıra birden fazla link de içerdiğini buldu.

Spamcı tarafından kullanılan yöntem Fransa’daki mobil Facebook kullanıcılarını hedeflemişti ve kurbanın zaman tünelinde kişinin onayı olmadan bir link paylaşmasını sağlayan ‘Paylaş’ butonuna erişim sağladı.

Görünüşe göre Android’in Facebook uygulamasındaki tarayıcı, tarayıcıya iFrame’lerde sayfayı yükleyip yükleyemeyeceğini söyleme rolüne sahip olan X-Frame-Options yanıt başlığını önemsemiyor. Buna rağmen masaüstü tarayıcılarda başlık olması gerektiği gibi yanıtlıyor ve iFrame’i yüklemeyi reddediyor.

Bu tür saldırıya clickjacking denir ve tuzak sitede bekleyen görünmez bir iFrame içine bir sayfa yüklemesiyle meydana gelir. Tüm kullanıcılar bunun tuzak olduğunu anlar lakin asıl etkileşim görünmez katmandaki neslelerledir.

Burada bug yok, devam edin

Siber güvenlik uzmanı Facebook’ta, etkinleştirildiğinde “sitenizin üst kısmında bir iFrame’de paylaş penceresi açan” “mobile_iframe” isimli özel bir parametre buldu.

Siber güvenlik uzmanının iddiasına göre Facebook bu rapora hemen cevap verdi lakin bu sorunu çözmeye çalışmadı çünkü onlara göre bir hesabın bütünlüğünü (ayarlarını değiştirmek vb.) etkilemediğinden bu bir güvenlik sorunu değil.

Bütün bunlara rağmen kullanıcıların zaman tünelinde izin olmaksızın link yayma marifeti, gerçekten ciddi bir sorun ve spam yerine malware yaymak için de kullanılabilir.

Siber güvenlik uzmanı şöyle belirtmişti: “Malware belge veya phishing site yayan bir linkin çok tanınan hatta binlerce takipçisi olan biri tarafından paylaşıldığında ne kadar tehlikeli olabileceğini bir düşünün”.

Etiketler
Daha Fazla Göster

YavuzhanD

Kocaeli Üniversitesi Bilgisayar Programcılığı öğrencisiyim. Sofya'da Todor Kableshkov Higher School of Transport'da Erasmus+ yaptım.

İlgili Makaleler

Bir cevap yazın

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir