Facebookは、ウェブサイトがユーザーのFacebookプロフィール(いいね!や興味分野など)を本人に無断で取り出せるバグを修正した。
これはImprevaの研究者Ron Masasが発見したもので、Facebookの検索結果がクロスサイトリクエストフォージェリ(CSRF)攻撃に正しく対応していなかった結果だ。言い換えると、ウェブサイトはユーザーがブラウザーの別のタブでログインしているFacebookのプロフィールから一部のデータを引き出すことができる。
Masasは、悪意のあるウェブサイトがIFRAME(ウェブサイト内にウェブサイトを入れ子にするために使われる)を使ってプロフィール情報を抜き取るデモを見せた。
「これはドメインを超えて情報をアクセスすることを許すもので、ユーザーが特定のウェブサイトに行くと、アタッカーはFacebookを開いてそのユーザーと友達に関する情報を収集できることを意味している」
悪意のあるウェブサイトが新しいタブでFacebookの検索画面を開き、YesかNoを返すクエリ(たとえばそのユーザーが「いいね!」したかどうか)を実行した際、もっと複雑な結果、たとえばユーザーの友達の中で特定の名前の人や、特定のキーワードを含む投稿、さらには特定地域や都市に住む友人の名前などを返すことがある、とMasasは言う。
「興味分野は友達にしか公開しないセキュリティー
スポンサーリンク
Facebook、ユーザーのいいね!や興味分野情報を取り出されるバグを修正
IT起業ニュース
コメント