Facebook zaifligi uchun ekspluatatsiya e’lon qilindi.
Zaiflik allaqachon spammerlar tomonidan faol ravishda foydalanilmoqda, ammo kompaniya buni xavfsizlikka tahdid deb hisoblamaydi.
Internetda Lasq nomi bilan tanilgan xavfsizlik tadqiqotchisi to’liq ishlaydigan Facebook qurtini yaratish uchun ishlatilishi mumkin bo’lgan kontseptsiyani isbotlovchi kodni e’lon qildi. Kod ijtimoiy platformadagi foydalanuvchilarning sahifalarida spamni joylashtirish imkonini beruvchi zaiflikdan foydalanadi. Qizig’i shundaki, bu zaiflik allaqachon spammerlar tomonidan faol ravishda foydalanilmoqda. Lasq muammo haqida do’stlarining sahifalarida fransuz komikslar veb-saytiga olib boradigan havolani ko’rganida xabardor bo’ldi. Kirish paytida foydalanuvchi yoshini tasdiqlashi kerak va keyin komikslar va ko’plab reklamalarni o’z ichiga olgan sahifaga o’tadi, veb-saytga havola esa tashrif buyuruvchining Facebook devoriga joylashtiriladi.
Veb-saytning manba kodini o’rganayotganda, mutaxassis shubhali iframe aniqladi, uning mavjudligi klikkeykingni ko’rsatishi mumkin. Lasq chuqurroq o’rganib chiqib, Facebookning mobil versiyasi ulashish oynasidagi X-Frame-Options sarlavhasini e’tiborsiz qoldirishini aniqladi (muammo ish stoli versiyasida yuzaga kelmaydi). Ushbu sarlavha veb-saytlar tomonidan iframelarga kod kiritishni oldini olish uchun ishlatiladi va klikkeykingga qarshi asosiy himoya vositalaridan biridir.
Tadqiqotchi bu muammo haqida Facebook’ga xabar berdi, ammo kompaniya buni xavfsizlikka tahdid deb hisoblashdan bosh tortdi. Platforma vakillarining tushuntirishicha, klikkjeking faqat tajovuzkor qandaydir tarzda akkaunt holatini oʻzgartirganda (masalan, xavfsizlik funksiyalarini oʻchirib qoʻyish yoki akkauntni oʻchirish orqali) muammo hisoblanadi. Biroq, mutaxassis bu fikrga qoʻshilmaydi. Uning taʼkidlashicha, tajovuzkorlar bu imkoniyatdan nafaqat spam yuborish, balki zararli veb-saytlarga havolalarni tarqatish uchun ham foydalanishlari mumkin.
