SSL信息Facebook上报告的另一个安全漏洞可能允许攻击者获取有关用户及其朋友的某些个人信息,从而可能使全球最受欢迎的社交网络用户的隐私受到威胁。
由Imperva的网络安全研究人员发现,漏洞存在于Facebook搜索功能显示输入查询结果的方式。
根据Imperva研究员Ron Masas的说法,显示搜索结果的页面包含与每个结果相关联的iFrame元素,其中这些iFrame的端点URL没有任何保护机制来防止跨站点请求伪造(CSRF)攻击。
值得注意的是,新报告的漏洞已经被修补,与之前公开的Facebook漏洞不同,该漏洞揭露了3000万用户的个人信息,它不允许攻击者立即从群发账户中提取信息。
Facebook搜索漏洞如何运作?
要利用此漏洞,攻击者需要做的只是诱骗用户访问他们已经登录Facebook帐户的Web浏览器上的恶意站点。
恶意网站包含一个javascript代码,一旦受害者点击该页面上的任何位置,该代码就会在后台执行。JavaScript代码打开一个新的选项卡或窗口,其中包含运行某些预定义搜索查询的Facebook URL,并测量结果以提取目标信息。
简而言之,该漏洞暴露了目标用户及其朋友的兴趣和活动,即使他们的隐私设置被设置为只能让他们或他们的朋友看到这些信息。
Imperva负责任地通过2018年5月的公司漏洞披露计划向Facebook报告了这个漏洞,社交网络巨头几天后通过增加CSRF保护解决了这个问题。
大约三个月前,Masas还报告了一个令人印象深刻的网络浏览器漏洞,暴露了其他所有网络平台,如Facebook和谷歌, 他还发布了该漏洞的概念证据。