Xss-haavoittuvuus avaa oven Facebook-madolle

Julkaistu: , Päivitetty:

Facebookista on löytynyt vakava xss-haavoittuvuus, joka mahdollistaa selaimien joukkosaastuttamisen. Haavoittuvuuden löytänyt suomalainen tietoturva-asiantuntija Jouko Pynnönen ilmoitti asiasta Facebookille perjantaina.
120 miljoonaan kuukausittaiseen kävijään kasvanut Facebook tarjoaa käyttäjille mahdollisuutta tuoda omia sovellusohjelmia jaettavaksi toisille käyttäjille.

”Persistent cross side scripting”-haavoittuvuuden takia rosvosovellus pystyy asentamaan itsensä tartunnan saaneella sivulla vierailevan käyttäjän profiiliin.


Javascript-koodi ajetaan siis muiden käyttäjien selaimissa, kun he käyvät kyseisellä profiilisivulla. Tällaisella javascriptillä vihamielinen taho voi sivulla kävijöiden tahtomatta urkkia muun muassa henkilötiedot ja sähköpostiosoitteet ja lukea viestien sisällön.

Javascript-koodin voidaan myös muokata manipuloimaan kaverilistaa, lähettämään kutsuja tai viestejä kohdekäyttäjän nimissä, muokkaamaan käyttäjän profiileja ja asentamaan niihin sovelluksia.

Jouko Pynnösen mukaan yksi hyökkäystapa tälle olisi Facebook-mato eli virusmaisesti leviävä sovellus. Tartunta leviäisi kaikkiin, jotka vierailevat Facebook-käyttäjän saastuneella  profiilisivulla.

– Tällainen leviäisi luultavasti päivässä tai parissa valtavaan määrään profiileita. Tartunnan nopeuttamiseksi se voisi lähettää kutsun profiilisivulleen kaikille kaverilistan henkilöille.

Nixu Oy:n tietoturva-asiantuntija Pekka Sillanpään mukaan xss-haavoittuvuuden pysyvä (persistent) muoto on lähes yhtä yleinen kuin enemmän julkisuutta saanut heijastuva muoto. Jälkimmäisen avulla sivuston alla pystytään näyttämään ulkopuolista aineistoa. Pysyvän xss-haavoittuvuuden hyväksikäyttöön riittää, että siirtyy haavoittuvalle sivulle normaalisti.

Sillanpää sanoo, että muun muassa tästä syystä verkkopankeissa kysytään tunnuslukuja vielä ennen maksusuoritusten hyväksymistä. Sillä varmistutaan että suorituksen on hyväksymässä valtuutettu henkilö.

– Molemmissa tapauksissa syy on sama, erikoismerkkejä ei suodateta käyttäjän antamasta syötteestä.

Xss-pohjaisia matoja on todettu jo useissa Web 2.0 sovelluksissa, esimerkiksi sellaisissa kuin Yahoo Yamanner, Samy ja Spaceflash.

– Näiden leviäminen voidaan kuitenkin estää tehokkaasti siinä vaiheessa kun ongelma huomataan, Sillanpää sanoo.

Kommentit

    Näytä lisää