Эксперт представил метод спуфинга URL-адресов в Facebook

Когда пользователь Facebook публикует на своей странице какую-либо ссылку, его друзья и подписчики видят в ленте новостей название опубликованного материала, описание, превью-изображение и URL-адрес. Казалось бы, этих сведений вполне достаточно, чтобы решить, стоит проходить по ссылке или нет. Однако, по словам исследователя безопасности Барака Тауили (Barak Tawily), отображаемые в ленте URL-адреса можно легко подменить .

Из-за наличия в Facebook спама, поддельных новостей и так называемых «кликбейтов» (окон с новостями или картинками, провоцирующими кликнуть на них), пользователи относятся к ссылкам с осторожностью. Больше доверия вызывают адреса известных сайтов, например, YouTube или Instagram. Тем не менее, по словам Тауили, то, как Facebook вызывает превью ссылок, позволяет с легкостью осуществить спуфинг.

Если коротко, Facebook сканирует публикуемую пользователем ссылку на наличие мета-тегов Open Graph с целью определить параметры страницы. Для отображения URL-адреса, превью-картинки и названия сайт ищет мета-теги 'og:url', 'og:image' и 'og:title' соответственно. По словам исследователя, Facebook не проверяет соответствие ссылки, указной в мета-теге 'og:url', истинному URL-адресу. Поэтому злоумышленники могут просто указать в'og:url' своего сайта нужный им легитимный адрес.

Тауили сообщил Facebook об обнаруженной им проблеме, однако компания не посчитала ее уязвимостью. Как пояснили в Facebook, для защиты от подобных атак используется система Linkshim. При каждом нажатии на ссылку в соцсети Linkshim проверяет ее в соответствии со своим черным списком вредоносных и фишинговых сайтов. Кроме того, с помощью машинного обучения система способна сканировать контент ранее неизвестных ей ресурсов. По словам исследователя, вышеописанный механизм безопасности можно обойти, предоставив безобидный контент непосредственно боту Facebook.