ASafety - AntiSecurity Un projet qui vous tiendra @coeur...

[x[@♥]]

Vulnérabilité dans Facebook et Google+

Un vecteur de phishing a été découvert au sein des deux grands réseaux sociaux. Celui-ci s'exploiterait via l'intégration d'un contenu (image, lien etc) dans un commentaire, avec la génération de la miniature.
Il serait possible de falsifier la cible du lien intégré vis-à-vis de la miniature qu'il affiche.
Google+ et Facebook seraient vulnérable. Toutefois G+ semble avoir déjà corrigé cette faille :

Les deux réseaux sociaux se copient vraiment tout depuis ces 4 derniers mois, même leurs failles de sécurité ^^

Quand on stocke la vie privée de plus de 800 millions de personnes, il vaut mieux être au point niveau sécurité informatique. Et pourtant Facebook laisse depuis le mois de juillet une faille béante dans son service…

La faille vient des aperçus générés lorsque vous postez un lien vers un site Web :



Il est ainsi possible de tromper le script qui gère les aperçus et de lui faire ajouter une tout autre page, ce qui pourrait conduire à des attaques de Phishing ou de Malwares en passant par Facebook, les gens postant un lien innocent qui se transforment alors en véritable bombe.

Démonstration en vidéo!

Si Facebook n’a toujours pas corrigé le problème, il semble que Google+ était aussi touché par cette vulnérabilité, mais que les ingénieurs de chez Google ont maintenant appliqué une correction empêchant l’exploitation de cette faille de sécurité.

Puisque la faille vient d’être rendue publique, Facebook risque de se bouger rapidement pour combler cela… Je l’espère en tout cas !

En plus de cela, les restrictions au niveau des propriétaire d'API key de Facebook semblent peu drastique... Une technique d'exploitation des API key d'applications facebook célèbres permettent l'exploitation des comptes facebook qui ont installé la dite application...

Un PoC est disponible pour cette vulnérabilité :

Certains spécialistes de la sécurité auraient découvert une faille au sein des restrictions embarquées aux interfaces de programmation de Facebook.

Les applications développées pour le réseau Facebook se basent sur le langage de requête FQL. Développé par Facebook, ce dernier permet d'extraire les informations des utilisateurs du service. Si le développeur souhaite que son application puisse accéder aux données personnelles, il doit obtenir une clé pour l'usage des interfaces de programmation mises à disposition par Facebook, c'est-à-dire un identifiant unique pour gérer les droits de son application.

il semblerait cependant qu'à l'obtention de cette clé, les développeurs puissent avoir des privilèges très élevés, lesquels ne sont finalement restreints que par Facebook lorsque le développeur soumet son application. Le magazine InfoWorld rapporte les propos de deux chercheurs surnommés hatter et ErrProne. Selon ces derniers, le développeur n'aurait d'ailleurs même pas besoin d'obtenir une clé mais pourrait simplement utiliser la clé d'une application existante en ajoutant celle-ci à son profil. Cette technique permettrait de récupérer les informations des utilisateurs ayant installé l'application même si ces derniers ont préalablement choisi de ne partager les données qu'avec ses contacts.

Interrogé par InfoWorld, un porte-parole de Facebook explique : « lorsque l'on nous remonte une application malveillante ou lorsque celle-ci est détectée par notre système, nous réagissons rapidement avant qu'elle ne puisse récupérer des données ». Ces propos ne semblent en tout cas pas convaincre les deux chercheurs. Un hacker malintentionné pourrait en effet restreindre son attaque à un seul utilisateur en spécifiant un identifiant particulier et donc passer complètement inaperçu. Retrouvez davantage de détails techniques sur cette page.

Rappelons qu'au mois de mai l'éditeur Symantec, spécialisé dans la sécurité informatique, rapportait que quelque 100 000 applications n'étaient pas suffisamment sécurisées. Il était précisé que les modules de type IFRAME avaient accidentellement rendu accessibles les clés de sécurité au sein desquelles sont stockées les droits d'accès d'une application au profil d'un membre. Pour certains cette méthode avait permis aux annonceurs de récupérer certaines informations personnelles afin de déployer des campagnes de publicités ciblées.

La suite sur Clubic.com : Facebook ignorerait une faille de sécurité dans ses API http://www.clubic.com/antivirus-securit ... z1aBfpuzfy
Informatique et high tech

Exemple de code PoC, jouant avec les referers et les useragents pour détecter la provenance :

Code: Tout sélectionner

<?php
# User agent checking methods
$fb_string = '/facebookexternal/i';                # facebookexternal shows in the facebook content scanner's user agent
$gplus_string = '/Feedfetcher-Google/i';       # googleplus shows up in the user agent as well.
# rDNS Lookup Methods
$host_websense = '/websense.com/i';         # Checking the rdns for websense filters
$host_fb = '/tfbnw.net/i';                              # Checking the rdns for tfbnw.net - facebook host
# Load the request properties
$u_agent = $_SERVER['HTTP_USER_AGENT'];
$u_ref     = $_SERVER['HTTP_REFERER'];
$u_host  = gethostbyaddr($_SERVER['REMOTE_ADDR']);
# If we're coming from or facebook or websense or google plus,
if (preg_match($host_fb,$u_host) || preg_match($host_websense,$u_host) || preg_match($fb_string,$u_agent) || preg_match($gplus_string,$u_agent)) {
    # Display an image
    header('Content-Type: image/jpeg');
    @readfile ('/var/www/localhost/cute_kitten.jpeg');
} else {
    # Rickroll this unsuspecting user
    header('Location: http://www.youtube.com/watch?v=dQw4w9WgXcQ&ob=av3e');
}
?>

Plutôt jolie, il faut l'avouer!

Source :
Clubic

Nikopik

BlackHatAcademy