Uma vulnerabilidade XSS – atualmente sem correção – na API mobile do Facebook está sendo explorada para enviar mensagens para os murais dos usuários, que servem como porta de entrada para o site especialmente criado para explorar a falha.
A falha vem sento explorada há um tempo, mas só recentemente foi amplamente utilizada. Usuários da Indonésia, em específico, são alvos de vários grupos utilizando a vulnerabilidade em seu proveito.
“Isso permite a qualquer site incluir, por exemplo, um elemento iframe maliciosamente preparado contendo um código JavaScript, ou incluir um atributo ‘http-equiv’ para redirecionar o navegador para a URL contendo o JavaScript”, explica a Symantec. “Qualquer usuário que está logado no Facebook e visita um site que contenha esse elemento, automaticamente irá postar uma mensagem arbitrária em seu mural.”