آسیب‌پذیری CSRF در فیسبوک

براساس خبرهای منتشر شده، شرکت فیسبوک به‌تازگی یک آسیب‌پذیری حساس مرتبط با حملات جعل درخواست میان‌وب‌گاهی یا همان آسیب‌پذیری «CSRF» را در وب‌سایت خود برطرف کرده است. آسیب‌پذیری CSRF، امکان استخراج اطلاعات کاربران فیسبوک را برای مهاجمان فراهم می‌ساخت. در این مطلب کوتاه، نگاهی به این آسیب‌پذیری انداخته شده است.

شرکت فیسبوک به‌تازگی یک آسیب‌پذیری مهم در وب‌سایت خود برطرف کرده است که پیش از این، امکان دسترسی مهاجمان به اطلاعات شخصی کاربران را فراهم می‌ساخت. در تعریفی کوتاه می‌توان گفت که این آسیب‌پذیری، حریم خصوصی بیش از یک میلیارد کاربر در محبوب‌ترین شبکه اجتماعی دنیا را در معرض خطر قرار داده بود.

براساس گزارش منتشر شده توسط شرکت امنیتی ایمپروا، آسیب‌پذیری CSRF در فیسبوک، مربوط به بخش نمایش نتایج جستجوها در این شبکه اجتماعی بود که پس از گزارش این شرکت، به‌سرعت برطرف شده است.

به گفته شرکت ایمپروا، صفحه‌ای که پیش از این نتایج جستجو را نمایش می‌داد، شامل iFrame‌های مرتبط با هر یک از نتایج بود که در آن URL‌های پایانه، از هیچ مکانیزم امنیتی برای محافظت در برابر حملات جعل درخواست میان‌وب‌گاهی یا همان CSRF برخوردار نبودند.

 

بهره‌برداری از آسیب‌پذیری CSRF چگونه است؟

به‌طور خلاصه باید گفت که تنها چیزی که مهاجم در حملات CSRF نیاز دارد، هدایت کاربر به یک وب‌سایت مخرب در مرورگری است که در آن، وب‌سایت‌های آسیب‌پذیر را باز کرده است.

برای مثال، جهت بهره‌برداری از این آسیب‌پذیری در فیسبوک، تنها چیزی که مهاجم نیاز دارد، فریب دادن کاربران برای بازدید از یک سایت مخرب در مرورگری است که با آن وارد حساب فیسبوک خود شده‌اند.

در این نوع از حملات، سایت مخرب حاوی یک کد جاوا اسکریپت است که پس از ورود کاربر به سایت و کلیک در آن، به سرعت در پس‌زمینه اجرا می‌شود و با بهره‌برداری از آسیب‌پذیری در صفحه جستجو، می‌تواند اطلاعات حساس مختلفی را درباره حساب کاربر قربانی، استخراج کند.

در حالت معمول، قابلیت جستجوی فیسبوک مورد سودمندی برای هکرها به نظر نمی‌رسد، اما با در نظر داشتن امکان استخراج اطلاعاتی مهمی مانند موارد زیر، می‌توان از زاویه دیگری به این نوع از حملات نگاه کرد.

  • اگر دوستی با نام خاص یا کلیدی دارید
  • اگر صفحه خاصی را لایک کرده یا عضو گروه خاصی هستید
  • اگر دوستی دارید که صفحه خاصی را لایک کرده است
  • اگر عکس‌هایتان را در مناطق یا کشوری خاص گرفته‌اید
  • اگر تا به حال به روز رسانی ای با محتوای کلیدی یا خاص در صفحه خود انجام داده‌اید
  • اگر دوستان مسلمان یا مسیحی دارید.
  • و...

نکته قابل توجه این است که این آسیب‌پذیری علایق و فعالیت کاربران مورد هدف و دوستان آن‌ها ــ حتی اگر تنظیمات حساب آن‌ها به گونه‌ای باشد که تنها خود یا دوستانشان قادر به دیدن آن‌ها باشند ــ را نیز در معرض افشا قرارمی‌دهد.

 

 

توضیحات بیشتر در:

- Patched Facebook Vulnerability Could Have Exposed Private Information About You and Your Friends