臉書修補了洩漏使用者和朋友個資風險的漏洞

臉書最近修補了一項漏洞，該漏洞可能會讓第三方在未經使用者的同意下，取得使用者和朋友的個人資料，包含使用者的興趣和喜好，這項漏洞是由美國一家資安公司Imperva在今年5月向臉書報告，並與臉書資安團隊一同修補該漏洞，幸運的是，在修補之前，並沒有任何實際的攻擊案例。

Imperva的資安研究員Ron Masas發現，該漏洞可以利用臉書嵌入網頁功能iFrame，透過跨站請求來發動攻擊（CSRF），攻擊者即可收集有關使用者和使用者朋友的資訊。臉書搜尋結果的HTML中，每一個結果都包含iFrame元件，此外，與大部分的網頁相同，因為要讓使用者透過URL分享搜尋結果的頁面，並沒有啟用CSRF防護，但是iFrame元件有易受到Cross-origin documents攻擊的風險，再加上CSRF的攻擊手法，便成為了漏洞。

Ron Masas表示，攻擊者可以利用上述的條件，誘騙使用者打開惡意網站，並點擊網站的任意位置，就能暗中打開含有臉書搜尋頁面的視窗或是頁面，強迫使用者執行攻擊者發送的任何搜尋，而顯示有關使用者的個人資訊，藉此，攻擊者可以查詢特定使用者，並確認是否為該使用者的朋友，也能查詢使用者喜歡的粉絲專頁。