Facebookgebruikers zijn het doelwit van een aanval waarbij aanvallers allerlei zaken met hun account kunnen uitvoeren zodra er vanaf een kwetsbaar Androidtoestel een kwaadaardige pagina wordt bezocht. De kwetsbaarheid die de aanvallers gebruiken bevindt zich in de Android Open Source Platform (AOSP) browser en zorgt ervoor dat de Same-Origin Policy (SOP) beveiliging omzeild kan worden.

Een aanvaller kan hierdoor via een verborgen frame kwaadaardige JavaScript-code laden die in de context van Facebook draait. Met deze code is het mogelijk om zonder dat de gebruiker het ziet vrienden toe te voegen, berichten te liken, abonnementen aan te passen, Facebook-apps toegang tot profielen, vriendenlijsten en geboortedata te geven en het access token en locatiegegevens te stelen.

Volgens Trend Micro worden gebruikers aangevallen via een link op een bepaalde Facebookpagina die naar een kwaadaardige site wijst. Deze pagina bevat geobfusceerde JavaScript dat vervolgens een Facebookpagina in een onzichtbaar frame laadt. De gebruiker krijgt echter niets te zien, omdat de kwaadaardige pagina is ingesteld om niets weer te geven.

De kwetsbaarheid, die in september van dit jaar werd onthuld, is aanwezig in alle Androidversies voor Android 4.4. Google heeft inmiddels updates uitgebracht, maar die zijn nog niet voor alle toestellen beschikbaar of nog niet door de eigenaren geïnstalleerd. Op dit moment draait 64% van alle Androidtoestellen nog op een versie die kwetsbaar is, zo blijkt uit cijfers van Google.