„Facebook“ kelia grėsmę „clickjacking“ atakos

Svetainei „Facebook“ pavojų kelia tam tikros rūšies atakos. Pirmadienį saugumo tyrėjai įspėjo, jog tokių atakų metu vartotojui sąveikaujant su kita internetine svetaine, gali būti įsilaužiama į paskyrą. Tyrėjas Nitesh Dhanjani taip pat teigė, jog „Facebook“ trūkumas yra tas, jog svetainė suteikia trečiųjų šalių programoms galimybę gauti vartotojo profilio duomenis, nors ir neprašoma vartotojų sutikimo. Dažniausiai svetainėje „Facebook“ pasirodo pranešimas, kuriame vartotojai įspėjami, jog jie, naudodamiesi trečiosios šalies programa, suteikia prieigą prie savo profilio informacijos. Tai leidžia vartotojams apsigalvoti ir nebesirinkti šios programos.

Dabar kompanija pakeitė savo politiką ir kai kurioms programoms leidžiama naudoti naują leidimo funkciją, kuri nebeperspėja „Facebook“ vartotojų apie tai, kad paleidžiant trečiosios šalies programą gaunama informacija apie vartotojus. „Tai leidžia „Facebook“ padidinti trečiųjų šalių programų naudojimą, o kartu ir gaunamas pajamas“, – tvirtino Nitesh Dhanjani. Tuo tarpu „Facebook“ atstovas Simon Axten sakė, jog vienintelė informacija, kurią galima gauti neparodant „Leisti“ (angl. „Allow“) pranešimo, yra ta, kuri prieinama viešai: vardas, profilio nuotrauka, lytis, tinklai, draugų sąrašas ir puslapiai. Kartu tai yra ir ta informacija, kuri gali būti randama internete.

Atskiri, tačiau panašūs tyrimai, kuriuos atliko Nitesh Dhanjani bei Izraelio saugumo mokslininkas Shlomi Narkolayev rodo, jog „clickjacking“ atakų metu galima pavogti „Facebook“ paskyras. Vartotojai tokių atakų metu nukreipiami į svetaines, kuriose paslėpti kenksmingi kodai. Internetinė svetainė, kuri primena elektroninės prekybos svetainę arba kurioje rodoma videomedžiaga, gali slėpti „Facebook“ prisijungimo puslapį. Taigi, kai vartotojas prisijungia prie svetainės norėdamas peržiūrėti videomedžiagą, atidaroma vartotojo paskyra ir vartotojas to net nesupranta. „Naudojant „ClickJacking“ galima apkvailinti vartotojus ir priversti juos nuspausti bet ką: galima pridėti į draugų sąrašą, ištrinti jų paskyrą, net įjungti jų mikrofoną bei kamerą ar įdiegti „Facebook“ programą“, – sakė Shlomi Narkolayev. Jis net pateikė videomedžiagą, kurioje pademonstravo ataką. Be to, jo teigimu, šios atakos grėsmę kelia ir kitoms svetainėms.

Pernai metais „Twitter“ susidūrė su daugybe atakų. Simon Axten tvirtino, jog šie atakų pavyzdžiai yra standartiniai ir nėra specialiai pritaikyti „Facebook“ svetainei. „Mes kuriame papildomą apsaugą nuo tokio tipo atakų. Be to, mes patariame žmonėms saugotis įtartinų žinučių, pranešimų ar nuorodų, kurias jie randa „Facebook“ ar kitose internetinėse svetainėse“, – tvirtino „Facebook“ atstovas. „Facebook“ svetainėje naudojama pažangi sistema, galinti aptikti ir blokuoti pranešimus bei kenkėjiškų nuorodų siuntimą. „Jei mes sužinome, jog svetainėje vykdoma „clickjacking“ ataka prieš mūsų vartotojus, mes įtraukiame tai į mūsų „juodąjį“ sąrašą – tai nebeleidžia plisti atakai, – teigė Simon Axten. – Mes taip pat dirbame ir su trečiosiomis šalimis, kad sužinotume apie kenkėjiškas svetaines ir galėtume jas taip pat įtraukti į „juodąjį“ sąrašą“.

Leave Comment

El. pašto adresas nebus skelbiamas. Būtini laukeliai pažymėti *