domenica 13 febbraio 2011

Nuova minaccia per gli utenti di Facebook dall'iframe delle pagine

Giovedì scorso Facebook ha annunciato che gli amministratori delle pagine potranno creare applicazioni Tabs tramite iframe da caricare all'interno delle pagine al posto del più restrittivo FBML (Facebook Markup Language). E dopo il lancio delle nuove Pagine Facebook, gli esperti di sicurezza temono che l'introduzione di iframe per le pagine di Facebook aprirà le porte agli abusi, e renderà ancora più facile il lavoro dei cybercriminali sul social network. 


Facebook ha annunciato con entusiasmo l'introduzione dell'iframe per le pagine: "[...] Molte applicazioni utili sono state costruite per le pagine di Facebook come BandPage per gli artisti per condividere la loro musica con i fan e Shop Now per aiutare le Pagine a vendere merce su Facebook. A partire da oggi, è possibile costruire la vostra pagina della scheda applicazioni utilizzando iframe piuttosto che FBML. Questo significa che ora è possibile creare applicazioni che girano su Facebook (incluse le pagine e le cavans application), utilizzando lo stesso semplice, basato su standard, modello di programmazione web (HTML, JavaScript e CSS). Inoltre, è possibile integrare facilmente i plugin sociali e le API grafiche all'interno della scheda", ha detto Nikolay Valtchanov, sviluppatore di Facebook. Tuttavia, mentre gli sviluppatori di Facebook sono stati felici nel sentir parlare di cambiamenti, alcuni esperti di sicurezza non condividono l'entusiasmo. In passato le schede che potevano essere aggiunte a queste pagine sono state create in due modi: il primo ha utilizzato l'FBML Facebook app. Lo statico Facebook Markup Language (FBML) o HTML ha permesso di creare queste schede per le pagine, non è stato particolarmente coinvolgente, ma è stato molto semplice da usare. Il secondo metodo per la creazione di schede per le pagine avviene con l'aggiunta di una Facebook app personalizzata all'interno di una scheda FBML standard. Ciò significava che l'applicazione personalizzata poteva richiedere dati esterni da parte di un terzo e visualizzarli all'interno della scheda della pagina. Anche se questo contenuto è stato oggetto di molte limitazioni tecniche, come passare attraverso il proxy di Facebook che ha guastato molte cose, tra cui i tracking pixel (monitoraggio pixel), JavaScript e Flash. Allora, qual è il grande cambiamento? Bene Facebook permette adesso di includere iframes all'interno di applicazioni di Facebook sulle tab delle pagine, il che significa che tutto può evitare il proxying Facebook.


"Mentre questo è senza dubbio una legittima grande novità per gli sviluppatori sicuramente renderà la vita troppo facile per le persone con cattive intenzioni", osserva Rik Ferguson, senior security advisor del vendor antivirus Trend Micro. E 'ora possibile impostare una pagina di Facebook, creare una scheda di atterraggio di default (quello che si vede per prima quando si visita la pagina) e includere un'applicazione che contiene un iframe. Iframe che possono ad esempio contenere codice JavaScript che, immediatamente e senza interazione con l'utente vi reindirizza a un sito di sua scelta. Diciamo per esempio una pagina contenente un Fake AV o una pagina in cui un exploit kit è silente attesa per infettare con malware. " Non è più necessario il likejacking, non bisogna più dover convincere gli utenti ad installare la vostra applicazione, se un criminale vuol fare l'esca dolce basta andare a visitare la pagina, ed è tutto ciò di cui avranno bisogno per iniziare la catena che porterà alla compromissione del vostro computer ed utilizzato per fini criminali ", ha spiegato Ferguson. Facebook ha modificato la politica per prevenire l'abuso della funzione, chiedendo agli sviluppatori di accettare un codice di condotta che vieta tali attività, ma, naturalmente, ai cybercriminali potrebbero non interessare i termini di servizio. Le applicazioni rogue sono il cuore di centinaia, se non migliaia, di truffe diffuse sul sito di social networking ogni singolo mese ed i loro creatori sono perfettamente consapevoli di infrangere le regole. Inoltre, la situazione appare solo peggiorare, perchè il personale di sicurezza di Facebook, aquanto pare non è in grado di tenere il passo con il loro numero. A causa del modo con il quale i browser gestiscono gli iframe, essi rappresentano un buon vettore di attacco, in generale, non solo su Facebook. Un gran numero di attacchi drive-by download lanciati da siti web legittimi compromessi, vengono eseguiti tramite iframe canaglia. Ferguson ha informato Facebook di questa svista nelle loro nuove funzionalità e ci aggiorneremo sul blog per eventuali novità.

Nessun commento:

Posta un commento