Pas på falske Facebook-venner: Al din information bliver rippet

Illustration: Virrage Images/Bigstock
Et nyt proof of concept har vist, hvordan et Facebook-plugin med falske venneanmodninger kan dumpe dine profilinformationer, billeder og vennelister til angriberens pc.

En Java-baseret Facebook-tømmer har set dagens lys. Et proof of concept viser, at blot du accepterer en forfalsket venneanmodning, bliver din Facebook-konto rippet for information. Plugin'et dumper ofrets profilinformation, billeder og venneliste til en lokal folder.

Det er blandt andet en udvikler ved navn Saafan, der har opdaget hullet og offentliggjort proof of concept'et på Google Code. Saafan er senior informationssikkerhedsanalytiker ved Raya IT Security Services Team (RISST), hvor hans speciale er penetrerings-test.

I korthed kan hacket beskrives således: Først skal man oprette en ny Facebook-profil. Et såkaldt Friending-plugin virker først, når man tilføjer offerets venner for at have nogle fælles venner. Derefter beder et klonings-plugin angriberen om at vælge én af offerets venner.

Klonings-plugin’et kloner kun visningen af billedet og display-navnet på den udvalgte ven og sætter disse på den autentificerede konto. Bagefter sendes en venneanmodning til offerets konto. Offeret tror, det er en vens ven, der forsøger at tilføje offeret i sin vennekreds.

Så snart offeret accepterer venneanmodningen, begynder dumperen at gemme alle tilgængelige HTML-sider, det vil sige information, billeder og tags, som angriberen kan bruge til offline-undersøgelse.

Efter et par minutter opdager offeret formentlig, at der er tale om en falsk konto, men her kan det være for sent.

Det offentliggjorte hul er så vidt vides endnu ikke blevet udnyttet.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (5)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Jan Christensen

...kan ej køøøøøbes for pengeeee! Som salig Jodle Birger (må han hvile i fred) sang. Der er mange måder at genkende rigtige venner på men der er vist intet 'hul' i den beskrevet funktionalitet. Hullet er vist i kompetance af artiklens ophavsmand. Dette er 'working as designed'.

  • 0
  • 1
Log ind eller Opret konto for at kommentere