{E-Commerce & Social Network} – L’attaque par « frame-counter »

 

Salut à tous,

 

Je suis dans pas mal de petits groupes où je peux voir et entendre des choses ...
Et là j'ai vu une news qui hélas ne sera probablement pas la dernière

Facebook à une nouvelle faille ! Vos données sont publiques !!!

 

Alors, même si mon planning de news est plein jusqu'à fin décembre, je prends le temps de décaler un peu l'agenda pour vous en parler ;)

La faille en question

Lorsque vous êtes sur des sites e-commerce ou sur des réseaux sociaux vous avez des pages "génériques" qui s'affichent !
Ainsi donc lorsque vous allez faire une petite recherche dans Facebook ... et que vous avez un truc auquel vous êtes abonnés / ou pas.
Le contenu de la page sera différent et le nombre de frames aussi !
Voilà donc la faille qui a été remonté sur Facebook : https://www.imperva.com/blog/facebook-privacy-bug/

Le chercheur qui a trouvé la faille fait une démo assez sympa où l'on voit une "victime" qui va sur une page ... un popup s'ouvre et l'on sait tout de suite ce qu'il aime ou n'aime pas !

 

Les limite d'une telle faille

 

Blocage des Popups

La plupart des navigateurs récents bloquent l'ouverture des popups au démarrage de la page afin de vous éviter que 15.000 fenêtres de publicités ne s'ouvrent lorsque vous allez sur certains sites.
Vous pouvez néanmoins voir de temps en temps un popup s'ouvrir, mais cela nécessite une action manuelle de votre part.

Limitation sur le nombre d'infos que l'on peut obtenir 

Dans le cas de Facebook, un popup qui s'ouvre est égal à un résultat ...
Le pirate ne peut pas à l'avance connaitre ce que vous aimez ou n'aimez pas, il est donc obligé de tester ce qu'il a envie de tester

  • La victime aime les frites ?
  • La victime aime les clubs échangistes ?
  • La victime aime la France ?
  • ...

Et pour chaque chose que le pirate souhaite savoir, c'est un popup qui s'ouvre ...
Autant vous dire que cette attaque ne passera pas inaperçu ... et à peu de chances d'aboutir sur la récupération de toutes vos informations.

Certains me diront :
"oui mais on peut tout à fait le faire par Iframe, et c'est transparent pour la victime ..."
Alors non ça n'est pas possible, car même si certaines plateformes ne sont pas protégées, la plupart des grosses structures le sont (Cependant, il n'est pas inutile de vérifier si c'est le cas, parfois on a des surprise) :

 

Amazon également touché par cette faille

Pour le fun, je me suis amusé à voir si certaines autres enseignes étaient concernée par ce genre de faille.
Bien entendu, là où ça devient amusant, c'est quand cela concerne des grosses boîtes ...
Amazon par exemple ...

Alors oui les amis, j'ai une terrible nouvelle à vous annoncer !

Je sais tout sur vous mouahaha !!!!

Amazon est victime d'une terrible faille de sécurité et toutes vos données ont fuité mouahahaha !

Vous comprendrez bien entendu qu'il s'agit là d'un pur texte bourré d'ironie !
Même si je sais ... que toi fidèle lecteur tu es ... amateur de ceinture gode ;)

Okey trêve de plaisanterie.
Oui Amazon est touché par le même souci :

 

 

Mais comme je vous l'ai dit plus haut, un hacker devra tester des millions de produits pour savoir ce que vous avez acheté !

Et je vous vois mal ... assis sur votre chaise regarder 150 popups s'ouvrir et se fermer devant votre écran ^^

Pour ceux qui voudraient tester voici donc le petit code qui permet de faire la même chose.

st = window.open('https://www.amazon.fr/gp/product/B06XFWPXYD/');
setTimeout(()=>{console.log(st.frames.length==9?'Vous avez achetez ce produit':'Vous devez acheter ce produit');}, 5000);

18

 

Trouver des plateformes "faillibles"

 

Si vous êtes un grand fou dans votre tête, que vous avez envie de pirater le monde entier et de devenir le plus grand leaker de tous les temps !

 

 

Vous pouvez parfaitement faire le test sur des sites avec cette méthode.

  1. Rendez-vous sur un contenu accessible à tous avec une info qui vous dit que vous êtes êtes affilié à ce contenu (achat d'un produit, adhérent d'un groupe, etc ...)
  2. Dans votre console développeurs (touche F12 du clavier, onglet "console") exécutez :
    window.frames.length
  3.  Rendez-vous sur un contenu du même genre mais où vous n'êtes pas affilié et refaites l'opération
  4. Vous devriez obtenir dans chacun des cas un chiffre / nombre différent.
  5. Vérifiez si ces chiffre ne bougent pas sur d'autre contenu où vous êtes affiliés ou non affilié.
  6. Si vous constatez que vos 2 valeurs ne bougent pas et qu'elles sont différentes toutes les 2, alors vous avez trouvé un site vulnérable : Bravooo !

 

Conclusion

Oui il s'agit bien d'une faille qui touche Facebook, Amazon et surement d'autres plateformes, mais constatez qu'il ne faut pas s'alarmer sur celle-ci, vos données n'ont pas été volées, et il serait vraiment compliqué d'exploiter une telle faille pour collecter pleins d'infos sur vous en une seule fois et en quelques secondes ...

Néanmoins, bien joué au chercheur qui a trouvé cette faille ;)

NB : Pour Amazon, il est possible que le chiffre 9 que j'obtiens puissent varié avec les ajustements qu'Amazon apporte à sa plateforme à Noel. Le problème dans l'exploitation d'une telle faille c'est qu'elle peut être très facilement contourné.
La moindre nouvelle frame / iframe ajoutée et hop le nombre change.

3 comments

Laisser une réponse

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Ce site est protégé par reCAPTCHA et le GooglePolitique de confidentialité etConditions d'utilisation appliquer.