A Facebook csatlakozik a lyukakhoz, amely lehetővé tette a fiókok eltérítését

A Facebook olyan súlyos sérülékenységet vetett fel, amely lehetővé tenné a támadók számára, hogy egyszerű hozzáférést biztosítsanak a magán felhasználói fiókok adatait és ellenőrző számláit, kifejezetten kialakított linkek, a webes alkalmazások biztonsági kutatója azt mondta csütörtökön.

Nir Goldshlager, a kutató, aki azt állítja, hogy megtalálta a hibát, és jelentette a Facebook, részletes leírást és videó bemutató, hogy a támadás dolgozott a blogján.

A sérülékenység lehetővé tenné egy potenciális támadó számára, hogy ellopja az OAuth hozzáférési zenékként ismert érzékeny adatokat. A Facebook az OAuth protokollt használja, hogy harmadik féltől származó alkalmazások hozzáférjenek a felhasználói fiókokhoz, miután a felhasználók jóváhagyják őket.

[További olvasnivalók: Hogyan távolítsuk el a rosszindulatú programokat a Windows számítógépről]

A Goldshlager sérülékenységet talált a Facebook webhelyein a mobil és érintőképernyős eszközök számára, amelyek nem megfelelő az URL útvonalainak tisztítása. Ez lehetővé tette számára, hogy olyan URL-eket készítsen, amelyek felhasználhatók a hozzáférési token ellopására olyan alkalmazásokhoz, amelyeket a felhasználók telepítettek a profiljukra.

Miközben a legtöbb Facebook alkalmazás olyan harmadik féltől származó alkalmazás, amelyet a felhasználóknak kézzel kell jóváhagyniuk néhány beépített alkalmazás, amely előre jóváhagyott. Az egyik ilyen alkalmazás a Facebook Messenger; a hozzáférési token nem jár le, hacsak a felhasználó nem változtatja meg a jelszavát, és kiterjedt hozzáférési jogosultsággal rendelkezik a fiókadatok eléréséhez.

A Facebook Messenger képes üzeneteket, értesítéseket, fotókat, e-maileket, videókat stb. olvasni, elküldeni, feltölteni és kezelni. A m.facebook.com és a touch.facebook.com webhelyen található URL manipulációs sérülékenységet kihasználni lehetett, ha ellopnák egy felhasználó hozzáférési tokenjét a Facebook Messengerhez, amely a támadó számára teljes hozzáférést biztosított a számlához, mondta Goldshlager.

Fingered a bug-hunter

A támadási URL-t rövidítették az egyik a sok URL rövidítő szolgáltatással, és elküldte a felhasználóknak, akik maszkolnak valamilyen más linkként. A támadás olyan számlákon is dolgozott, amelyeken a Facebook kétszintű hitelesítése engedélyezett, a Goldshlager azt mondta:

A hozzáférési token és a Facebook felhasználói azonosító segítségével a támadó az adatokat a felhasználói fiókból a Graph API Explorer, a a Goldshlager e-mailen pénteken bejelentette, hogy a fejlesztők elérhetők a Facebook oldalán.

A Goldshlager szerint a Facebook biztonsági csapata rögzítette a biztonsági rést. "A Facebook rendelkezik egy professzionális biztonsági csapattal, és nagyon gyorsan megoldja a kérdéseket" - mondta. "Üdvözöljük a biztonsági kutatót, aki felhívta figyelmünket erre a problémára, és felelősségteljesen jelentette be a hibát White Hat programunknak." pénteken e-mailben értesítette. "A csapatunkkal együtt dolgoztunk annak érdekében, hogy megértsük a sebezhetőség teljes körét, amely lehetővé tette számunkra, hogy javítsuk meg azt anélkül, hogy bizonyíték lenne arra, hogy ezt a hibát kihasználják a vadonban. A probléma Facebookért való felelősségteljes bejelentése miatt nincs bizonyítékunk arra, hogy a felhasználóknak ez a hiba ütközött volna. A kutatónak köszönetet mondtunk nekik, hogy hozzájárultak a Facebook Biztonsághoz. "

A kutató azt állítja, hogy egyéb, a Facebookra ható OAuth-féle sebezhetőségeket is talált, de elutasította a róluk szóló információkat, még mindig nem sikerült.

A Facebook egy hibabajutó programot futtat, amelyen keresztül pénzbeli jutalmat fizet a biztonsági kutatóknak, akik megtalálják és felelősségteljesen jelentik a webhelyre ható sebezhetőségeket.

A Goldshlager azt mondta Twitteren, hogy még nem fizette meg a Facebook jelentette be ezt a biztonsági rést, de megjegyezte, hogy jelentése több sebezhetőséget is tartalmaz, és valószínűleg megkapja a jutalmat, miután mindegyik javításra került.

A Facebook nagyon jól fizet a biztonsági kutatóknak a hibák felkutatásában és bejelentésében, mondta Goldshlager e-mailben. "Nem tudom megmondani, mennyit, de többet fizetnek, mint bármely más hibabejelentő program, amit tudok."

Frissítve a 11:55 órakor, PT, hogy egy megjegyzést tegyen a Facebook-ból.