Ton Masas นักวิจัยความปลอดภัยจาก Imperva ได้ออกมาเปิดเผยเกี่ยวกับช่องโหว่บน Facebook ทำให้แฮกเกอร์สามารถเข้าถึงข้อมูลส่วนตัวของผู้ใช้และเพื่อนได้
ช่องโหว่นี้เกิดจากการแสดงผลลัพธ์ของการค้นหาผ่านทางฟีเจอร์ของ Facebook โดยหน้าเพจที่แสดงผลการค้นหาจะประกอบด้วย iFrame ที่เกี่ยวข้องกับผลของการค้นหา ซึ่งปลายทาง URL ของผลการค้นหาแต่ละ iFrameนั้นไม่มีการป้องกันการโจมตีแบบ cross-site request forgery (CSRF) แฮกเกอร์จะใช้ประโยชน์จากช่องโหว่นี้แขโมยข้อมูลของผู้ใช้ได้
การทำงานของช่องโหว่เริ่มจากแฮกเกอร์จะหลอกผู้ใช้คลิกเข้าไปยังเว็บไซต์ที่สร้างขึ้นมาเป็นพิเศษโดยใช้เบราว์เซอร์ของผู้ใช้ที่ได้ทำการล็อกอิน Facebook ไว้แล้ว ภายในเว็บไซต์ที่แฮกเกอร์สร้างขึ้นมานั้นจะประกอบด้วยโค้ด JavaScript ซึ่งจะรันแบบ Background ทันทีเมื่อผู้ใช้กดคลิก
จากนั้นโค้ด JavaScript จะเปิดหน้าแท็บหรือหน้าใหม่ขึ้นมาเพื่อเข้าถึง Facebook search บังคับให้ผู้ใช้ทำการค้นหาที่กำหนดไว้แล้ว จากนั้นจะทำการตรวจสอบผลการค้นหาแล้วดึงข้อมูลผู้ใช้ออกมา Masas ได้แสดงวิธีการโจมตีของช่องโหว่นี้บนวิดีโอ
ถึงแม้ว่าการค้นหาบน Facebook อาจให้ข้อมูลไม่มากนัก เพียงแค่เปิดเผยข้อมูลของจำนวนการค้นหาของบัญชีผู้ใช้ Facebook เท่านั้น แต่ถ้าหากใช้อย่างถูกต้อง ฟีเจอร์ Facebook Search อาจใช้ดึงข้อมูลที่สำคัญของผู้ใช้ออกมาก็ได้ ยกตัวอย่างข้อความคำถามที่ใช้ในการค้นหา เช่น
- ถ้าคุณมีเพื่อนชื่อ…….หรือมีคำนี้ประกอบในชื่อ
- ถ้าคุณกด Like เพจใดเพจหนึ่งหรือเป็นสมาชิกของกลุ่มนั้น
- ถ้าคุณมีเพื่อนที่กด Like เพจใดเพจหนึ่ง
- ถ้าคุณเคยถ่ายรูปที่ใดที่หนึ่ง หรือประเทศใดประเทศหนึ่ง
- ถ้าคุณเคยโพสต์รูปภาพที่สถานที่ใดที่หนึ่ง หรือที่ประเทศใดประเทศหนึ่ง
- ถ้าคุณเคยโพสต์ข้อความบน Timeline หรือข้อความที่มีคีย์เวิร์ดนี้อยู่
- ถ้าคุณมีเพื่อนนับถือศาสนาอิสลาม
ที่มา : The Hacker News
