Biztonsági rés a Facebookon

A Facebook sérülékenységeinek felfedezésével a kiberbűnözés, az internetes csalók és a biztonsági kutatók is erőteljesen foglalkoznak. A közösségépítő nemrégen egy jutalmazási rendszert is bevezetett - hasonlóan, ahogy azt többek között a Google a Chrome böngészőjének kapcsán tette - annak érdekében, hogy a biztonsági kutatókat arra ösztönözze, hogy a sebezhetőségeket elsőként a cég szakembereinek jelentsék, akik ezáltal gyorsabban megtehetik a szükséges biztonsági lépéseket.

A legutóbbi eset azonban arra hívta fel a figyelmet, hogy a Facebook berkein belül a sebezhetőségek kezelése nem minden esetben megy zökkenőmentesen. Nathan Power, a CDW egyik szakértője ugyanis még szeptember végén jelezte a Facebook fejlesztőinek, hogy egy könnyen kihasználható biztonsági résre bukkant. Azonban a Facebook érdemben csak azután reagált a hibára, illetve ismerte el annak létezését, hogy a múlt héten a sajtó felkapta az esetet.

Power állítása szerint a sebezhetőség az üzenetekhez mellékelhető fájlok nem megfelelő ellenőrzésére vezethető vissza. A Facebook normális esetben nem enged futtatható állományokat becsatolni és elküldeni, pontosan azért, hogy a kártékony programok terjesztését ezzel nehezítse meg. Power azonban arra lett figyelmes, hogy ha a HTTP-üzenetekben szereplő fájlneveken kisebb módosítást hajt végre (ez egy "space" karakter elhelyezését jelenti), akkor a közösségépítő rendszerének szűrőjét könnyedén meg lehet kerülni, és tetszőleges, akár kártékony fájlok válhatnak elküldhetővé bárkinek, aki a Facebookon korábban regisztrált. Még csak olyan korlátozás sincs, hogy a címzetteknek mindenképpen az ismerősök közül kell kikerülniük.

A biztonsági kutató a rendellenességre akkor figyelt fel, amikor az üzenetküldési funkcióhoz tartozó HTTP (POST) kéréseket vette górcső alá, és elkezdte azokat módosítgatni. A szakember szerint a hiba azért veszélyes, mert a támadók tulajdonképpen bárkinek küldhetnek ártalmas programokat. Természetesen a károkozáshoz arra is szükség van, hogy a címzettek ezeket az állományokat megnyissák. A Facebook emiatt vélte úgy, hogy önmagában a hiba nem kritikus veszélyességű, ugyanis a támadásokhoz további, social engineering trükkök alkalmazására is szükség van.

A közösségépítő üzemeltetői szerint a kockázatokat tovább csökkenti, hogy a támadók a sebezhetőséget kizárólag úgy tudják kihasználni, hogy egyszerre csak egy felhasználónak küldenek manipulált üzeneteket. Ugyanakkor nyilvánvaló, hogy az internetes csalók a social engineering, a megtévesztő trükkök és az automatizált eszközök használatától nem riadnak vissza.

Ryan McGeehan, a Facebook biztonsági menedzsere elmondta, hogy a Facebook védelmi rendszere nem hagyatkozik kizárólag a fájlnevekre, hiszen a fájlok egyéb biztonsági ellenőrzésen is átesnek. Ez azt jelenti, hogy mélységi védelem van annak érdekében, hogy a lehető legtöbb káros csatolmányt ki lehessen szűrni. McGeehan szerint a webes levelezőszolgáltatásokat üzemeltető vállalatoknak is hasonló problémákkal kell szembe nézniük.

A Facebook időközben megerősítette, hogy a sebezhetőséget nemrégen megszüntette, és ezzel a biztonsági rés által jelentett kockázatokat felszámolta.