Otwór wtyczki Facebooka umożliwiający porwanie konta

Facebook załatał poważną lukę, która mogła umożliwić atakującym łatwy dostęp do prywatnych danych konta użytkownika i kontrolować konta poprzez nakłanianie użytkowników do otwarcia specjalnie spreparowane linki, analityk bezpieczeństwa aplikacji internetowych, powiedział w czwartek w czwartek.

Nir Goldshlager, badacz, który twierdzi, że znalazł lukę i zgłosił ją na Facebooku, zamieścił szczegółowy opis i wideo pokazujące, jak atak działał na jego blogu.

Ta luka umożliwiła potencjalnemu intruzowi wykradanie poufnych informacji zwanych tokenami dostępu OAuth. Facebook wykorzystuje protokół OAuth, aby umożliwić aplikacjom innych firm dostęp do kont użytkowników po ich zatwierdzeniu przez użytkowników. Każdej aplikacji przypisuje się unikalny token dostępu dla każdego konta użytkownika.

[Czytaj dalej: Jak usunąć złośliwe oprogramowanie z komputera z Windows]

Goldshlager znalazł lukę w zabezpieczeniach na stronach Facebooka dla urządzeń mobilnych i urządzeń dotykowych, które wynikały z niewłaściwego sanitization of URL paths. Pozwoliło mu to stworzyć adresy URL, które mogły zostać wykorzystane do kradzieży tokena dostępu dla dowolnej aplikacji zainstalowanej przez użytkownika w jego profilu.

Podczas gdy większość aplikacji na Facebooku to aplikacje innych firm, które użytkownicy muszą ręcznie zatwierdzić, istnieje kilka wbudowanych aplikacji, które są wstępnie zatwierdzone. Jedną z takich aplikacji jest Facebook Messenger; jego token dostępu nie wygasa, chyba że użytkownik zmieni swoje hasło i ma rozszerzone uprawnienia dostępu do danych konta.

Facebook Messenger może czytać, wysyłać, ładować i zarządzać wiadomościami, powiadomieniami, zdjęciami, e-mailami, wideo i innymi. Luka w manipulowaniu adresami URL znaleziona na stronach m.facebook.com i touch.facebook.com mogła zostać wykorzystana w celu kradzieży tokena dostępu użytkownika do Facebook Messenger, który dałby atakującemu pełny dostęp do konta, powiedział Goldshlager.

Fingered przez bug-huntera

Adres URL ataku mógł zostać skrócony dzięki jednej z wielu usług skracania adresów URL i wysłany do użytkowników podszywających się pod link do czegoś innego. Atak mógłby również zadziałać na kontach z włączonym dwuskładnikowym uwierzytelnianiem Facebooka, powiedział Goldshlager.

Dzięki tokenowi dostępu i identyfikatorowi użytkownika Facebooka, osoba atakująca może wyodrębnić informacje z konta użytkownika za pomocą Eksploratora interfejsu graficznego Graph, narzędzie dla deweloperów dostępne na stronie Facebooka, Goldshlager powiedział w piątek za pośrednictwem poczty elektronicznej.

Według Goldshlagera zespół ds. bezpieczeństwa na Facebooku naprawił lukę. "Facebook ma profesjonalny zespół ds. Bezpieczeństwa i bardzo szybko rozwiązuje problemy", powiedział.

"Cieszymy się z badacza bezpieczeństwa, który zwrócił nam tę uwagę i za odpowiedzialne zgłoszenie błędu do naszego programu White Hat" - przedstawiciel Facebooka powiedział w piątek za pośrednictwem poczty elektronicznej. "Pracowaliśmy z zespołem, aby upewnić się, że rozumiemy pełen zakres luki, co pozwoliło nam to naprawić bez żadnych dowodów na to, że ten błąd został wykorzystany w środowisku naturalnym. Ze względu na odpowiedzialne zgłaszanie tego problemu na Facebooku, nie mamy dowodów, że ten błąd dotyczy użytkowników. Przekazaliśmy badaczowi nagrodę, aby podziękować im za ich wkład w Facebook Security. "

Badacz twierdzi, że znalazł również inne luki związane z OAuth, które mają wpływ na Facebooka, ale odmówił ujawnienia jakichkolwiek informacji o nich, ponieważ zostały już naprawione.

Facebook prowadzi program bounty błędów, za pośrednictwem którego wypłaca pieniężne nagrody badaczom bezpieczeństwa, którzy znajdują i odpowiedzialnie zgłaszają luki w zabezpieczeniach witryny

Goldshlager powiedział na Twitterze, że nie został jeszcze opłacony przez Facebooka za zgłosił tę lukę, ale zauważył, że jego raport zawierał wiele usterek i że prawdopodobnie otrzyma nagrodę po tym, jak wszystkie zostaną naprawione.

Facebook płaci badaczom bezpieczeństwa bardzo dobrze za znajdowanie i zgłaszanie błędów, powiedział Goldshlager za pośrednictwem poczty elektronicznej. "Nie mogę powiedzieć ile, ale płacą więcej niż jakikolwiek inny program bounty, który znam."

Zaktualizowano o 11:55 rano, aby dołączyć komentarz z Facebooka.