Hai lỗ hổng bảo mật nghiêm trọng trong Meta Conversions API Gateway – một thành phần hạ tầng quảng cáo và đo lường chuyển đổi được Meta triển khai trên hàng triệu website toàn cầu. Các lỗ hổng này có thể bị khai thác âm thầm, không cần tương tác từ người dùng, làm gia tăng nguy cơ chiếm quyền tài khoản Facebook ở quy mô lớn.
Theo các báo cáo, các lỗ hổng này có thể bị khai thác âm thầm, không cần người dùng tương tác, làm gia tăng nguy cơ bị chiếm quyền phiên đăng nhập và tài khoản Facebook.
Conversions API Gateway sử dụng một file JavaScript quan trọng có tên capig-events.js. Đoạn mã này được Meta phân phối và tự động tải trên các nền tảng chính thức như meta.com, business.facebook.com, developers.facebook.com, đồng thời xuất hiện trên rất nhiều website bên thứ ba để phục vụ hoạt động quảng cáo và theo dõi hành vi người dùng.
Do được thực thi trực tiếp trong trình duyệt, script này kế thừa toàn bộ ngữ cảnh bảo mật của website. Điều này khiến một lỗi nhỏ trong mã nguồn có thể trở thành rủi ro chuỗi cung ứng, ảnh hưởng lan rộng tới cả hệ sinh thái.
Lỗ hổng đầu tiên nằm ở phía trình duyệt. Script capig-events.js lắng nghe sự kiện postMessage để nhận cấu hình từ cửa sổ khác, nhưng không kiểm tra nguồn gửi (origin).
Kẻ tấn công có thể gửi một thông điệp giả mạo từ domain do mình kiểm soát, buộc trình duyệt nạn nhân tải và thực thi thêm mã JavaScript độc hại từ domain đó. Đây là dạng Client-Side XSS, cho phép thực thi mã tùy ý trong ngữ cảnh website, bao gồm cả các trang của Meta.
Lỗ hổng thứ hai nghiêm trọng hơn, tồn tại ở backend của Conversions API Gateway. Khi người dùng tạo các quy tắc sự kiện (IWL rules), hệ thống backend sinh mã JavaScript bằng cách nối trực tiếp dữ liệu do người dùng nhập mà không lọc hoặc escape ký tự nguy hiểm.
Điều này cho phép chèn mã độc dạng Stored XSS, được lưu lại và tự động thực thi với mọi người truy cập sau đó. Đáng chú ý, việc khai thác không cần bất kỳ thao tác nào từ phía nạn nhân, mã độc có thể chạy ngay trong phiên đăng nhập Facebook hợp lệ.
Trong kịch bản xấu, tin tặc có thể lợi dụng các lỗ hổng này để đánh cắp cookie, token xác thực, chiếm quyền tài khoản và phát tán mã độc trên diện rộng.