Check Point披露Facebook聊天应用程序存在漏洞

全球最大的专注于安全的解决方案提供商Check Point以色列捷邦安全软件科技有限公司 (NASDAQ: CHKP)日前披露了关于在Facebook Messenger在线和移动应用程序中发现的漏洞的详细信息。在Check Point披露之后，Facebook迅速修复了漏洞。

该漏洞允许恶意用户修改Facebook Online Chat & Messenger应用程序中的会话历史。通过该漏洞，可修改或删除发送的任何消息、照片、文件、链接等。漏洞在六月初向Facebook安全小组全面披露。Facebook立即响应，经过共同努力，漏洞被修复。

该漏洞有什么潜在破坏?

• 利用该漏洞，可触发多个潜在攻击向量。Facebook在全球日常活动中起重要作用，这些方案可能对用户造成严重影响。许多用户依赖Facebook进行个人和业务相关通信，这使此类漏洞对攻击者更具有吸引力。
• 恶意用户可作为欺诈的一部分篡改历史消息。恶意者会修改会话历史，声称他已与受害者达成虚假一致，或只是修改其条款。
• 第二个场景是可能影响正在进行的法律调查。Facebook聊天记录已被允许在全球法庭上作为证据。攻击者可能隐藏犯罪证据，甚至牵连无辜的人。
• 该漏洞可作为一种恶意软件分发方式。攻击者可将合法链接或文件变成恶意的，并轻松说服用户打开它。随后，攻击者可利用这种方法来更新链接，以包含最新C&C（命令与控制）地址，更新钓鱼方案。

全面技术分析

Check Point安全研究员Roman Zaikin发现了该漏洞。利用该漏洞，攻击者可控制Facebook聊天，并根据其需求调整消息，包括删除消息及替换文本、链接和文件。

Facebook聊天应用程序中的每条消息都有自己的标识符“message_id”参数。在发起恶意企图时，攻击者可通过代理存储该请求，包括标识符。

下图显示向www.facebook.com/ajax/mercury/send_message.php发送的请求

图1: 发送消息

攻击者可向www.facebook.com/ajax/mercury/thread_info.php发送请求，以获得“message_id”

图2: 获得Message IDs

一旦攻击者发现message ID，他就可修改消息内容，并发送到Facebook服务器。在内容修改时，不会向用户PC或移动设备推送任何消息。

POC – 利用漏洞发起勒索活动

利用Facebook Chat或Messenger聊天，攻击者可根据各种目的修改会话。在此我们将演示利用该漏洞分发勒索软件的可能攻击流程。

首先，攻击者向潜在目标发送一条合法消息：

图3: 合法联系人

然后，攻击者将修改消息，以包含感染链接或文件。如下图所示，消息“Hi”变为“RANSOMWARE COMMAND AND CONTROL ROULETTE”（勒索软件命令与控制轮盘赌）。

图4: 修改消息

接下来，攻击者可篡改同一攻击向量，以克服今天的勒索软件面临的最大挑战之一：保持命令与控制服务器活跃。勒索软件活动通常只持续几天。感染链接和C&C（命令与控制）地址被举报后，安全厂商会拦截，迫使攻击者停止他的活动，重新部署攻击行动。

“利用该漏洞，网络犯罪分子可在受害者不知情的情况下，修改链接，调整其攻击活动”，Check Point产品漏洞研究主管Oded Vanunu说，“当命令与控制服务器被替换时，恶意者可保持其发送的链接，或只在修改消息时采取一定自动化。”

“我们称赞Facebook做出正确响应，并以专业方式处理安全问题。”

Check Point将继续监查常用软件和互联网平台中的漏洞，披露发现的问题，警告并保护消费者和客户免遭未来威胁攻击。