Tietoturva

Xss-haavoittuvuus avaa oven Facebook-madolle

Julkaistu: , Päivitetty:

Facebookista on löytynyt vakava xss-haavoittuvuus, joka mahdollistaa selaimien joukkosaastuttamisen. Haavoittuvuuden löytänyt suomalainen tietoturva-asiantuntija Jouko Pynnönen ilmoitti asiasta Facebookille perjantaina.
120 miljoonaan kuukausittaiseen kävijään kasvanut Facebook tarjoaa käyttäjille mahdollisuutta tuoda omia sovellusohjelmia jaettavaksi toisille käyttäjille.

”Persistent cross side scripting”-haavoittuvuuden takia rosvosovellus pystyy asentamaan itsensä tartunnan saaneella sivulla vierailevan käyttäjän profiiliin.


Javascript-koodi ajetaan siis muiden käyttäjien selaimissa, kun he käyvät kyseisellä profiilisivulla. Tällaisella javascriptillä vihamielinen taho voi sivulla kävijöiden tahtomatta urkkia muun muassa henkilötiedot ja sähköpostiosoitteet ja lukea viestien sisällön.

Javascript-koodin voidaan myös muokata manipuloimaan kaverilistaa, lähettämään kutsuja tai viestejä kohdekäyttäjän nimissä, muokkaamaan käyttäjän profiileja ja asentamaan niihin sovelluksia.
Mainos (Teksti jatkuu alla)
Mainos päättyy

Jouko Pynnösen mukaan yksi hyökkäystapa tälle olisi Facebook-mato eli virusmaisesti leviävä sovellus. Tartunta leviäisi kaikkiin, jotka vierailevat Facebook-käyttäjän saastuneella  profiilisivulla.

– Tällainen leviäisi luultavasti päivässä tai parissa valtavaan määrään profiileita. Tartunnan nopeuttamiseksi se voisi lähettää kutsun profiilisivulleen kaikille kaverilistan henkilöille.

Nixu Oy:n tietoturva-asiantuntija Pekka Sillanpään mukaan xss-haavoittuvuuden pysyvä (persistent) muoto on lähes yhtä yleinen kuin enemmän julkisuutta saanut heijastuva muoto. Jälkimmäisen avulla sivuston alla pystytään näyttämään ulkopuolista aineistoa. Pysyvän xss-haavoittuvuuden hyväksikäyttöön riittää, että siirtyy haavoittuvalle sivulle normaalisti.

Sillanpää sanoo, että muun muassa tästä syystä verkkopankeissa kysytään tunnuslukuja vielä ennen maksusuoritusten hyväksymistä. Sillä varmistutaan että suorituksen on hyväksymässä valtuutettu henkilö.
Mainos (Teksti jatkuu alla)
Mainos päättyy

– Molemmissa tapauksissa syy on sama, erikoismerkkejä ei suodateta käyttäjän antamasta syötteestä.

Xss-pohjaisia matoja on todettu jo useissa Web 2.0 sovelluksissa, esimerkiksi sellaisissa kuin Yahoo Yamanner, Samy ja Spaceflash.

– Näiden leviäminen voidaan kuitenkin estää tehokkaasti siinä vaiheessa kun ongelma huomataan, Sillanpää sanoo.

Kommentit

    Näytä lisää