Pesquisadores da Trend Micro, através de uma análise feita, disseram que os atacantes estão explorando ativamente uma vulnerabilidade no navegador WebView do Android, a fim de comprometer as contas do Facebook. A falha permite que os atacantes deem bypass na Android’s Same Origin Policy (SOP), afetando versões do sistema operacional anteriores a versão 4.4 que estejam em execução nos dispositivos. A vulnerabilidade, registrada sob o CVE-2014-6041, foi divulgada pela primeira vez em setembro de 2014 por um pesquisador independente. Mas meses depois, a vulnerabilidade continua a ser explorada em estado selvagem.
A falha permite que os atacantes para ignorar política de mesma origem do Android (SOP) e dispositivos afeta versões do sistema operacional antes de 4.4 em execução. A vulnerabilidade, CVE-2014-6041, foi divulgado pela primeira vez em setembro por um pesquisador independente. Mas meses depois, a vulnerabilidade continua a ser explorada em estado selvagem.
“O WebView Android no Android antes de 4.4 permite que atacantes remotos para ignorar a Política de Origem Same via um atributo trabalhada contendo um personagem \ u0000, como demonstrado por um onclick =” window.open (‘\ u0000javascript: sequência da aplicação de browser Android 4.2. 1 ou um navegador de terceiros, ” de acordo com o National Vulnerability Database.
De acordo com a Trend Micro Mobile Security Engineer Simon Huang, o ataque tem como alvo usuários do Facebook através de um link em uma página no Facebook em particular que leva a um site malicioso. A página contém código JavaScript ofuscado que inclui uma tentativa de carregar a URL Facebook em um quadro interno. O usuário só verá uma página em branco como HTML da página foi configurado para não exibir qualquer coisa através da sua tag div enquanto o quadro interno tem um tamanho de um pixel, acrescentou.
“Enquanto estas rotinas estão sendo realizados, o desvio SOP está sendo realizada”, ele fez um blog, acrescentando que um arquivo JavaScript remoto é carregado a partir de um provedor de armazenamento em nuvem legítimo.
O arquivo, observou ele, contém o código malicioso do ataque e permite que os atacantes para realizar as seguintes atividades no Facebook:
Adicionar amigos
Como e siga páginas do Facebook
Modificar subscrições
Autorizar um aplicativo do Facebook para acessar o perfil público do usuário, lista de amigos, informações de aniversário, gostos e gostos dos seus amigos
Roubar tokens de acesso da vítima e enviá-los para o seu servidor em http: // {} BLOQUEADO martforchristmas.website/walmart/j/index.php?cid=544fba6ac6988&access_token= $ ficha;
Recolha analytics dados (como localização das vítimas, referenciador HTTP, etc.) usando o serviço legítimo em https: //. whos {} BLOQUEADO ung.us/pingjs/
“Além de o código no local acima, encontramos um ataque similar em http: // www. {} BLOQUEADO php.com/x/toplu.php “, explicou Huang. “Acreditamos que ambos são criados pelo mesmo autor, porque eles compartilham vários nomes de funções, bem como a client_id do app do Facebook.”
“O client_id envolvido em este malware era” 2254487659 “,” ele acrescentou. “Este é um funcionário BlackBerry App mantido pelo BlackBerry. Nós confirmamos com BlackBerry e esclareceu que este malware está tentando tirar vantagem da marca BlackBerry confiável e roubar acesso-símbolo do usuário, que podem ser usados para fazer solicitações para APIs do Facebook e ler informações do usuário ou para publicar conteúdo para Facebook em nome de uma pessoa. ”
Blackberry está trabalhando com Facebook e Trend Micro para resolver a questão. Google já emitiu uma correção para a vulnerabilidade para os usuários do Android.
Fonte: Security Week http://www.securityweek.com/facebook…-vulnerability