Атака Chameleon позволяет менять контент в Facebook, Twitter и LinkedIn

Атака Chameleon позволяет менять контент в Facebook, Twitter и LinkedIn

Alexander Antipov

Пользователь может поставить «лайк» под безобидным видео, а затем окажется, что он «лайкнул» запрещенный материал.

image

Специалисты Университета имени Бен-Гуриона в Негеве (Израиль) представили атаку Chameleon, позволяющую модифицировать контент в соцсетях.

Исследователи проанализировали семь платформ и выявили на Facebook, Twitter и LinkedIn одну и ту же серьезную уязвимость. Как правило, Twitter не позволяет редактировать публикации, а Facebook и LinkedIn отмечают, что пост был отредактирован. Однако атака Chameleon позволяет обойти это.

«Представьте, вы увидели в своей ленте новостей в Facebook милое видео с котенком и поставили “лайк”, а на следующий день вам звонит друг и спрашивает, почему вы “лайкнули” видео с казнью ДАИШ. Вы возвращаетесь назад, и действительно, там стоит ваш “лайк”», — сообщили исследователи.

Представленная специалистами атака позволяет менять то, как контент отображается пользователям, без каких-либо изменений, пока пользователь сам не вернется и не посмотрит еще раз. Содержание публикации уже будет другим, но все комментарии и «лайки» к публикации сохранятся.

Для осуществления атаки Chameleon злоумышленник сначала собирает информацию о жертве. Затем он создает публикации или профили с ссылками и привлекает внимание жертвы, как в случае с фишинговыми атаками. Злоумышленник завоевывает доверие пользователей, собирает социальный капитал и взаимодействует с жертвами. Этот этап очень важен для успеха атаки Chameleon, независимо от того, является она целенаправленной или нет.

Исследователи уведомили Facebook, Twitter и LinkedIn о проблеме, но их ответ оказался неубедительным. Представители Facebook заявили, что описанная атака является фишинговой и не подходит для участия в программе bug bounty. По словам администрации Twitter, ей уже было известно о проблеме ранее, а в LinkedIn согласились провести расследование.

Подписывайтесь на каналы «SecurityLab» в TelegramTelegram и Яндекс.ДзенЯндекс.Дзен, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.

Источник: Securitylab