研究人員意外發現手機版臉書有點擊劫持漏洞，但臉書一度拒絕修補

安全研究人員揭露手機版臉書app上一項點擊劫持漏洞，使用戶可能不慎上鈎而成為散佈垃圾訊息的幫兇。臉書一度以這不是漏洞而是功能拒絕修改。

代號為Lasq的安全研究人員首先揭露這項漏洞。他是因為多位友人傳來奇怪的垃圾訊息連結進而追查。這個連結出現在手機版臉書app的他人動態消息上，顯示是連到AWS上的幽默漫畫網站。用戶點入網站時，會出現一則法文訊息，提醒用戶需年滿16歲才能點入。用戶點入其中的按鍵後一方面會真的導向有漫畫及大量廣告的網頁，但同時間用戶的臉書就被劫持了；同樣的連結訊息也出現在自己的臉書動態消息牆上。

經過分析，他發現這是因為臉書手機版app的分享對話方塊（share dialog） 存在的點擊劫持漏洞。根據臉書說明，分享對話方塊可「讓用戶將個人動態發佈到自己或朋友的動態時報、社團或Messenger訊息中，」而不需登入臉書。研究人員指出，桌機版臉書的「分享對話方塊」的X-Frame-Options回應標頭設定，以致能擋下含有iFrame元素的網頁，然而這在Android版臉書app卻是允許的，以致於攻擊者成功將有害連結送到受害者的臉書動態時報牆。研究人員隨後設計了概念驗證（PoC）攻擊程式，證明手機版app的確有此「漏洞」。

研究人員於是通報臉書，但臉書拒絕修改，理由是除非它會導致駭客變更用戶的帳號狀態（如關閉安全功能選項或移除帳號），否則不能視為安全漏洞。根據臉書對該功能的說明，這是mobile_iframe參數提供的功能，並非漏洞，臉書還指這個選項只在行動版本，桌機版沒有。

研究人員認為就算這是一項功能，也是實作非常差的功能，因為攻擊者可輕易用它來操弄臉書用戶在其動態牆上分享非出於他意願的內容，造成更重大損害，例如讓高知名度的人在臉書上散佈有惡意程式的文件和釣魚網站。

不過在國外媒體報導後，臉書已經在手機版app加入點擊劫持的偵測，同時加入警語，要求用戶確認是否要分享該連結。