Эксперт представил метод спуфинга URL-адресов в Facebook
31.10.2017
Когда пользователь Facebook публикует на своей странице какую-либо ссылку, его друзья и подписчики видят в ленте новостей название опубликованного материала, описание, превью-изображение и URL-адрес. Казалось бы, этих сведений вполне достаточно, чтобы решить, стоит проходить по ссылке или нет. Однако, по словам исследователя безопасности Барака Тауили (Barak Tawily), отображаемые в ленте URL-адреса можно легко подменить.
Из-за наличия в Facebook спама, поддельных новостей и так называемых "кликбейтов" (окон с новостями или картинками, провоцирующими кликнуть на них), пользователи относятся к ссылкам с осторожностью. Больше доверия вызывают адреса известных сайтов, например, YouTube или Instagram. Тем не менее, по словам Тауили, то, как Facebook вызывает превью ссылок, позволяет с легкостью осуществить спуфинг.
Если коротко, Facebook сканирует публикуемую пользователем ссылку на наличие мета-тегов Open Graph с целью определить параметры страницы. Для отображения URL-адреса, превью-картинки и названия сайт ищет мета-теги -og:url-, -og:image- и -og:title- соответственно. По словам исследователя, Facebook не проверяет соответствие ссылки, указной в мета-теге -og:url-, истинному URL-адресу. Поэтому злоумышленники могут просто указать в-og:url- своего сайта нужный им легитимный адрес.
Тауили сообщил Facebook об обнаруженной им проблеме, однако компания не посчитала ее уязвимостью. Как пояснили в Facebook, для защиты от подобных атак используется система Linkshim. При каждом нажатии на ссылку в соцсети Linkshim проверяет ее в соответствии со своим черным списком вредоносных и фишинговых сайтов. Кроме того, с помощью машинного обучения система способна сканировать контент ранее неизвестных ей ресурсов. По словам исследователя, вышеописанный механизм безопасности можно обойти, предоставив безобидный контент непосредственно боту Facebook.
