圖片來源: 

WordPress

專門研究WordPress外掛程式安全性的Wordfence在本周指出,臉書替WordPress設計的聊天外掛程式The Official Facebook Chat Plugin含有安全漏洞,將允許駭客接管該WordPress網站的聊天功能,進而假冒該站管理員以欺騙該站用戶。

The Official Facebook Chat基本上就是一個把臉書Messenger功能,嵌入WordPress網站的外掛程式,網站管理員可將該外掛程式連結到該站的臉書粉絲頁,還能設定常見問題或自動回覆功能,迄今有8萬個WordPress網站採用。

不過,Wordfence發現,臉書是藉由一個AJAX行動來建立網站與臉書粉絲頁的連結,但是該AJAX行動卻無法檢查連結請求的可靠性,而允許駭客發送請求,並以冒牌的粉絲頁取代。根據研究人員的分析,任何通過該WordPress網站驗證的使用者,就算只是一般的訂閱用戶,都能夠傳送請求來更新該外掛程式所連結的粉絲頁面。

這類的漏洞將是社交工程攻擊的最佳媒介,因為當駭客接管了網站的傳訊功能時,就能假冒網站身分,要求用戶提供個人資訊,或者是把粉絲頁參數留白,等於是關閉了該站的傳訊能力,破壞該站的聲譽,而且不管是使用者或網站管理員可能都無法在第一時間察覺,因為雙方的溝通管道已被攔截。

Wordfence是在今年的6月26日發現了該漏洞,並知會臉書,臉書則於7月23日更新了該外掛程式。


Advertisement

更多 iThome相關內容