Ein polnischer Sicherheitsforscher hat kürzlich Details und den Proof-of-Concept-Code veröffentlicht, mit denen ein voll funktionsfähiger Facebook-Wurm erstellt werden kann.
Anzeige
Dieser Code nutzt eine Schwachstelle der Facebook-Plattform aus, die der Forscher – der unter dem Pseudonym Lasq aktiv ist – bei einer Facebook-Spammer-Gruppe in freier Wildbahn beobachtet hat.
(Facebook-Spam, Quelle)
Die Schwachstelle befindet sich in der mobilen Version des Facebook-Sharing-Dialogs/Popup. Die Desktop-Version ist davon nicht betroffen. Lasq gibt an, dass in diesem Dialogfeld zur mobilen Freigabe eine Clickjacking-Schwachstelle besteht, die ein Angreifer über iframe-Elemente ausnutzen kann.
Die Spammergruppe, die dieses Problem vor Lasq gefunden zu haben scheint, hat diese Schwachstelle genutzt, um Links in der Facebook-Timeline von Personen zu veröffentlichen. Der Sicherheitsforscher hat hier Details zur Schwachstelle veröffentlicht. ZDnet.com hat hier darüber berichtet.
Anzeige
Anzeige