Lỗ hổng trong tính năng tìm kiếm của Facebook

Vào tháng 8/2018, nhà nghiên cứu bảo mật Ron Masas của công ty an ninh mạng Imperva (Mỹ) đã công bố một lỗ hổng trong trình duyệt Chrome, cho phép tin tặc có thể lấy cắp nhiều thông tin nhạy cảm của người dùng Facebook. Sau đó, vào trung tuần tháng 11/2018, Masas tiếp tục công bố đã phát hiện thêm một lỗ hổng nữa của Facebook. Lỗ hổng này có thể cho phép các trang web khác trích xuất thông tin cá nhân và danh bạ của người dùng trên tất cả các trình duyệt, không chỉ giới hạn ở Chrome.

Lỗ hổng này nằm trong tính năng tìm kiếm của Facebook, có thể tạo các truy vấn tìm kiếm phản ánh thông tin cá nhân về người dùng. Bằng việc sử dụng những câu hỏi có hoặc không cơ bản, Masas có thể tìm kiếm được các thông tin nhạy cảm của người dùng như trang họ thích, địa điểm chụp ảnh, thông tin bạn bè, vị trí đăng ảnh, nơi họ đang sống,....

Cũng giống như vụ rò rỉ dữ liệu người dùng do Cambridge Analytica, dữ liệu này rất có giá trị đối với những kẻ tấn công muốn phát triển các cuộc tấn công kỹ nghệ xã hội tinh vi hoặc, bán dữ liệu cho các công ty quảng cáo. Đặc biệt, lỗ hổng này có thể làm lộ thông tin về sở thích của người dùng và bạn bè của họ, ngay cả khi họ cài đặt sở thích ở chế độ Bạn bè.

Lỗ hổng này được khai thác dựa trên thành phần iframe trong tính năng tìm kiếm của Facebook. Điều này cho phép thông tin vượt qua các miền, có nghĩa là nếu người dùng truy cập tới một trang web cụ thể nào đó, tin tặc có thể mở Facebook và thu thập thông tin về người dùng và bạn bè của họ.

Masas cảnh báo rằng kỹ thuật này có thể sẽ phổ biến hơn trong năm 2019. Các lỗi thường là do lỗ hổng vượt qua xác thực để truy cập thông tin cá nhân, nhưng lỗi này cho phép tin tặc khai thác việc Facebook sử dụng iframe để lấy thông tin cá nhân của người dùng mà không để lại dấu vết như kỹ thuật vượt qua xác thực.

Tấn công thử nghiệm của nhà nghiên cứu

Để khai thác lỗ hổng này, Masas đã tạo ra một trang web độc hại để thu hút người dùng. Nếu người dùng tương tác với trang web này theo bất kỳ phương pháp nào, như cuộn hoặc nhấp vào trang, thì mã độc JavaScript sẽ thực thi tự động các truy vấn tìm kiếm trong tab mới.

Masas giải thích rằng, tin tặc có thể sử dụng một kỹ thuật gọi là "Tab-Under" để mở trang Facebook Search bên trong tab nền, khiến người dùng chỉ tập trung vào trang độc hại chính. Trang web độc hại chính có thể là một trang trò chơi trực tuyến, cổng xem phim trực tuyến hoặc một vài tin tức.

Vì ngày nay, kỹ thuật Tab-Under thường được sử dụng để chèn các loại quảng cáo trực tuyến, nên hầu hết người dùng sẽ không chú ý đến tab mới đang được mở trong nền trình duyệt của họ và chỉ coi đó là một quảng cáo.

Khi người dùng tương tác với trang độc hại, tập lệnh của Masas sẽ tự động hóa một loạt các tìm kiếm trên Facebook thông qua API đồ thị của Facebook (Facebook Graph API), đếm số lượng iframe mà các kết quả tìm kiếm trả về thông qua thuộc tính "fb.frames.length" và ghi lại các thông tin đó.

Tấn công này sẽ không xảy ra nếu người dùng mở ít tab trong trình duyệt và họ thấy một tab Facebook lạ đang mở ra. Nhưng vì hầu hết người dùng có xu hướng mở nhiều tab trong trình duyệt nên họ sẽ không để ý tới.

Hơn nữa, không cần mở các tab riêng biệt cho mỗi truy vấn tìm kiếm nên cho phép tin tặc mở lại tab hiện có với đường dẫn tìm kiếm mới trong khoảng thời gian ngắn. Điều này đặc biệt nguy hiểm cho người dùng di động, vì tab mở có thể dễ dàng bị trôi trong nền, cho phép kẻ tấn công trích xuất kết quả cho nhiều truy vấn, trong khi người dùng đang xem video hoặc đọc một bài viết trên trang web của kẻ tấn công.

Theo Masas, tấn công này hoạt động trên tất cả các trình duyệt, không chỉ giới hạn ở Chrome như lỗi Facebook mà ông tìm thấy trước đó vào tháng 8/2018.

Trong một tuyên bố được chia sẻ gần đây, phát ngôn viên Facebook – Margarita Zolotova nói rằng, Facebook đánh giá cao báo cáo của nhà nghiên cứu Ron Masas. Facebook đã khắc phục sự cố trong trang tìm kiếm và chưa phát hiện bất kỳ hành vi lạm dụng nào. Facebook cũng đưa ra đề xuất tới các nhà phát triển trình duyệt và các nhóm tiêu chuẩn web có liên quan để khuyến khích thực hiện các bước nhằm ngăn chặn vấn đề này xảy ra trong các ứng dụng web khác.