חוקר ישראלי חשף פרצת אבטחה חמורה בפייסבוק: כך ניתן לזייף בקלות קישורים בפייסבוק

חוקר אבטחת מידע ישראלי טוען כי חשף חולשה בפייסבוק שמאפשרת לתוקפים לזייף קישורים בפוסטים והודעות פרטיות, ובכך לבצע מתקפות זדוניות מבלי שהקורבן יהיה מודע לכך. לכל הפרטים

פייסבוק
פייסבוק | צילום: pixabay

 

 

ראיתם קישור לכתבה מעניינת בפייסבוק? נהדר, רגע לפני שתלחצו עליה דעו דבר אחד: יתכן והקישור שראיתם, אינו מה שאתם חושבים שהוא.

 

ברק טוילי, חוקר אבטחת מידע בן 24 מנס ציונה, טוען כי איתר חולשת אבטחה חמורה בפלטפורמה של הרשת החברתית הגדולה מכולן - פייסבוק. החולשה שאיתר טוילי מאפשרת למעשה לזייף קישורים בפייסבוק על ידי סדר פעולות פשוט יחסית. המשמעות? מנגנון הקישורים בפיד שלכם פרוץ, וגם אם ראיתם קישור עם תצוגה מקדימה לכתבה, ייתכן וזה יוביל אתכם למקום אחר לחלוטין, כזה שעלול להתגלות אף כזדוני.

 

בסרטון שהעלה טוילי, הדגים כיצד הוא משטה במנגנון הקישורים של פייסבוק, ומצליח לפרסם מה שנראה כקישור לסרטון יוטיוב (עם תצוגה מקדימה וכותרות מתאימות) אך למעשה מתגלה כקישור לאתר זדוני:

 

 

הפירצה הזו אינה תקפה רק לפיד שלכם, אלא גם לממשק ההודעות הפרטיות שלכם. בראיון לאונליין עשר, סיפר טוילי על הפירצה שחשף:

 

איך למעשה הפירצה עובדת?

"הפירצה למעשה מספקת תוכן מזוייף לתוכנה של פייסבוק, שאחראית להציג למשתמשים את פרטי ה-preview של קישור מסויים. היא עושה זאת באמצעות תגי HTML ספציפים, שהבוט מחפש בתוך התוכן שחזר לאחר גלישה לקישור".

 

האם למעשה ניתן להסוות כל קישור לקישור אחר?
"כן, לתוקף יש יכולת לבצע מניפולציה על כל ערכי ה-preview המוצגים בפייסבוק, זאת אומרת לשלוט בתמונה המוצגת, קישור, כותרת ותאור".

 

מה הסכנות הגלומות כאן למעשה?
"למשתמש הפשוט הסכנות העיקריות הינן גניבת מידע אישי רגיש, לדוגמא פרטי התחברות לאתרים או גניבת כרטיסי אשראי".

 

איך יכול להיות שבאג כזה חמור נעלם מעיני פייסבוק? האם ניתן לתקן אותו?

"באגים קורים, וימשיכו לקרות, וזה בסדר וכולנו בני אדם, יכול להיות גם שהם ידעו עליו ולא רצו לתקן, יש גם מקרים כאלה. ניתן לתקן אותו, במספר דרכים, בין אם להציג את ה URL המקורי (כמו שקורה היום בוואטסאפ ובכל מיני אפליקציות נוספות), ובין אם לגשת שוב ל-URL ממקור אנונימי ובכך לראות האם התוכן "האמיתי" של הקישור אכן זדוני.

 

ומה לגבי פייסבוק עצמה? ובכן טוילי מספר לנו כי יצר עם החברה קשר, אך שם לא ממש התלהבו מהתגלית שלו. "יצרתי קשר איתם. הם לא רצו לסווג את זה כבעיית אבטחה בהתחלה, מכיוון שהם טענו שיש להם מערכת לזיהוי אתרים זדוניים. לאחר מכן חקרתי את אותה המערכת והצלחתי לעקוף גם אותה, הם הגיבו כי זה בסדר כי ככה המוצר שלהם אמור להתנהג, ואני רק משתמש ביכולות שלו לרעה. במצב של באג שמנצל יכולות של התוכנה עצמה, זה בדרך כלל מצריך אותך לשנות את הארכיטקטורה של המוצר, וכבעל ניסיון בתחום אני מבין אותם, אבל יש דרכים שונות לתיקון הבאג כמו שהזכרתי בשאלות הקודמות".

 

פנינו לפייסבוק לקבל תגובה לסיפור, אך זו לא הגיעה עד לכתיבת שורות אלו. במידה וזו אכן תתקבל, נביא אותה כאן בכתבה.