חוקר סיבר ישראלי חשף פרצת אבטחה מסוכנת בפיסבוק

יום ד', 1 בנובמבר 2017
פרצת אבטחה בפייסבוק שגילה חוקר ישראלי מאפשרת להאקרים לזייף כתובות אתרים שמופיעות בקישורים לתוכן חיצוני, וכך למשוך גולשים לאתרים זדוניים - כך מזהיר חוקר האבטחה ברק טוילי.
  
כאשר משתפים קישור בפייסבוק, מציגה הרשת החברתית מידע נרחב על תוכנו - תמונה, תיאור של התוכן וגם את כתובת האתר שאליו לכאורה מפנה הקישור. "פייסבוק קובעת את המידע הזה באמצעות בוט ששולח בקשה ללינק ששותף, ומחפש תגיות מטא-דאטה ספצפיות מהן הוא שואב את המידע המדובר", אמר טוילי ל"כלכליסט". "הבעיה היא שאני, כמפתח אתר או תוקף, יכול לקבוע מה יהיה בכתוב בתגיות האלו ולהזין בהן איזה כתובת אתר שאני רוצה".
 
כתובת זו, שהיא הכתובת שתוצג למשתמש שיצפה בלינק ששותף בפייסבוק, יכולה להיות כל כתובת שהיא ולא חייבת להיות קשורה לאתר שאליו מופנה המשתמש בפועל. בפוסט שפרסם בבלוג האישי שלו הדגים זאת טוילי באמצעות הצגת קישור שמפנה לכאורה לסרטון ביוטיוב, אך בפועל שולח את המשתמש לאתרו הפרטי.
 
לכאורה, מדובר בפרצה שהיא לא יותר ממטרד, אך טוילי מבהיר שיש כאן סיכוני אבטחה משמעותיים: "יש כאן סכנה של פישינג, זו הסכנה הכי גדולה למשתמש הפשוט. אפשר להציג קישור שלכאורה מפנה לסרטון ביוטיוב, אבל שולח את המשתמש לאתר דמה שמבקש ממנו פרטי התחברות".
 
גרסה אחרת של מתקפת פישינג היא קישור שלכאורה מבטיח מבצע של שנה ללא עמלות מבנק מסוים, אך למעשה שולח את המשתמש לאתר של התוקף בו הוא מתבקש להזין פרטים אישיים שונים שיכולים לשמש לגניבת זהות. העובדה שבקישור שמופיע בפייסבוק מופיע כתובת של אתר לגיטימי תוריד את סף הזהירות של משתמשים רבים, שלא יבחינו שהגיעו למעשה לאתר מזויף.
 
לפייסבוק יש סיבות טובות להשתמש בשיטה הנוכחית להצגת לינקים: אם משתמש עושה שימוש בשירות קיצור לינקים, השיטה מאפשרת להציג את כתובת אתר היעד ולא את כתובת שירות הקיצור. ואולם, נראה שבחברה המירו פשוט סיכון אחד בסיכון אחר, בעייתי אף יותר.
 
טוילי העביר את המידע על הפרצה לפייסבוק במסגרת תוכנית שמתגמלת חוקרי סייבר על איתור באגים ופרצות אבטחה, אך בפייסבוק טענו בתגובה שהם כבר מודעים לבעיה. "מדובר ביכולת שנועדה לספק למפתחים מנגנון להתאמה של האופן שבו התוכן שלהם מוצג בפייסבוק", כתב עובד בצוות אבטחת המידע של הרשת החברתית.
 
"ההתנהגות שתיארת כבר מוכרת לנו ואנו לוקחים אותה בחשבון כאשר אנחנו מנטרים ועוצרים ספאם ופעילות זדונית. שום מערכת לא בטוחה ב-100%, אבל המטרה שלנו היא לאזן בין הצרכים והדרישות של יוצרי תוכן לגיטימיים לבעיות מובנות ולניצול אפשרי". פייסבוק טרם הגיבה רשמית  לפניית "כלכליסט" בנושא.