圖片來源: 

Imperva

臉書最近修補了一項漏洞,該漏洞可能會讓第三方在未經使用者的同意下,取得使用者和朋友的個人資料,包含使用者的興趣和喜好,這項漏洞是由美國一家資安公司Imperva在今年5月向臉書報告,並與臉書資安團隊一同修補該漏洞,幸運的是,在修補之前,並沒有任何實際的攻擊案例。

Imperva的資安研究員Ron Masas發現,該漏洞可以利用臉書嵌入網頁功能iFrame,透過跨站請求來發動攻擊(CSRF),攻擊者即可收集有關使用者和使用者朋友的資訊。臉書搜尋結果的HTML中,每一個結果都包含iFrame元件,此外,與大部分的網頁相同,因為要讓使用者透過URL分享搜尋結果的頁面,並沒有啟用CSRF防護,但是iFrame元件有易受到Cross-origin documents攻擊的風險,再加上CSRF的攻擊手法,便成為了漏洞。

Ron Masas表示,攻擊者可以利用上述的條件,誘騙使用者打開惡意網站,並點擊網站的任意位置,就能暗中打開含有臉書搜尋頁面的視窗或是頁面,強迫使用者執行攻擊者發送的任何搜尋,而顯示有關使用者的個人資訊,藉此,攻擊者可以查詢特定使用者,並確認是否為該使用者的朋友,也能查詢使用者喜歡的粉絲專頁。


Advertisement

更多 iThome相關內容