Facebook plugs hole na pinapayagan ang pag-hijack ng account

Facebook ay may patched isang malubhang kahinaan na maaaring pinapayagan attackers upang madaling makakuha ng access sa pribadong user account data at kontrol ng mga account sa pamamagitan ng tricking mga gumagamit sa pagbubukas partikular na ginawa ng mga link, sinabi ng isang researcher sa seguridad ng Web application na huli noong Huwebes.

Nir Goldshlager, ang mananaliksik na sinasabing natagpuan ang kapintasan at inulat ito sa Facebook, nag-post ng detalyadong paglalarawan at video demonstration kung paano nag-umpisa ang pag-atake sa kanyang blog.

Maaaring pinapayagan ng kahinaan ang isang potensyal na magsasalakay na magnakaw ng sensitibong mga piraso ng impormasyong kilala bilang mga token ng access sa OAuth. Ginagamit ng Facebook ang OAuth protocol upang bigyan ng access ang mga application ng third-party sa mga user account pagkatapos aprubahan ng mga user ang mga ito. Ang bawat aplikasyon ay bibigyan ng isang natatanging access token para sa bawat user account.

[Karagdagang pagbabasa: Paano tanggalin ang malware mula sa iyong Windows PC]

Nakahanap ang Goldshlager ng kahinaan sa mga website ng Facebook para sa mga aparatong mobile at touch-enabled na stemmed mula sa hindi tama sanitization ng mga path ng URL. Ito ay nagpapahintulot sa kanya na gumawa ng mga URL na maaaring magamit upang magnakaw ng access token para sa anumang application na na-install ng isang user sa kanilang profile.

Habang ang karamihan ng mga application sa Facebook ay mga third-party na apps na kailangan ng mga user na manu-manong aprubahan, ilang mga built-in na application na pre-aprubahan. Isa sa mga naturang application ay Facebook Messenger; Ang access ng token ay hindi mawawalan ng bisa maliban kung binago ng user ang kanyang password at mayroon itong malawak na mga pahintulot upang ma-access ang data ng account.

Ang Facebook Messenger ay maaaring magbasa, magpadala, mag-upload, at pamahalaan ang mga mensahe, abiso, larawan, email, video, at iba pa. Ang kahinaan sa pagmamanipula sa URL na natagpuan sa m.facebook.com at touch.facebook.com, ay maaaring pinagsamantalahan upang magnakaw ng access ng gumagamit ng token para sa Facebook Messenger, na kung saan ay nagbigay ng attacker na ganap na ma-access ang account, sinabi ng Goldshlager.

Fingered sa pamamagitan ng bug-hunter

Maaaring pinaikling ang URL ng pag-atake sa isa sa maraming mga serbisyo ng shortener ng URL at ipinadala sa mga gumagamit na nagpapakilala bilang isang link sa ibang bagay. Ang pag-atake ay nagtrabaho din sa mga account na pinagana ng dalawang-factor na pagpapatotoo ng Facebook, sinabi ng Goldshlager.

Gamit ang token ng access at user ID ng Facebook, ang isang magsasalakay ay makakakuha ng impormasyon mula sa user account sa pamamagitan ng paggamit ng Graph API Explorer, isang tool para sa mga developer na magagamit sa site ng Facebook, sinabi ng Goldshlager noong Biyernes sa pamamagitan ng email.

Ayon sa Goldshlager, itinakda ng Facebook Security Team ang kahinaan. "Ang Facebook ay may isang propesyonal na koponan sa seguridad at sila ayusin ang mga isyu nang napakabilis," sinabi niya.

"Pinupuri namin ang tagamasid ng seguridad na nagdala sa isyung ito sa aming pansin at para sa responsable na pag-uulat ng bug sa aming White Hat Program," isang kinatawan ng Facebook Sinabi ng Biyernes sa pamamagitan ng email. "Nagtatrabaho kami sa pangkat upang tiyakin na naintindihan namin ang buong saklaw ng kahinaan, na nagpapahintulot sa amin na ayusin ito nang walang anumang katibayan na ang bug na ito ay pinagsamantalahan sa ligaw. Dahil sa responsableng pag-uulat ng isyung ito sa Facebook, wala kaming katibayan na ang mga gumagamit ay naapektuhan ng bug na ito. Nagbigay kami ng isang biyaya sa tagapagpananaliksik upang pasalamatan ang mga ito para sa kanilang kontribusyon sa Facebook Security. "

Sinasabi ng mananaliksik na natagpuan din niya ang iba pang mga kahinaan na may kinalaman sa OAuth na nakakaapekto sa Facebook, ngunit tinanggihan upang ipakita ang anumang impormasyon tungkol sa mga ito dahil wala silang '

Ang Facebook ay nagpapatakbo ng isang bug na programa ng bounty kung saan ito ay nagbabayad ng mga gantimpala sa pera sa mga mananaliksik sa seguridad na nakakakita at responsable na ulat ng mga kahinaan na nakakaapekto sa site.

Goldshlager sa Twitter na hindi pa siya binabayaran ng Facebook para sa nag-uulat ng kahinaan na ito, ngunit nabanggit na ang kanyang ulat ay nagsama ng maraming mga kahinaan at malamang na matanggap niya ang gantimpala pagkatapos na maayos ang lahat ng mga ito.

Ang Facebook ay nagbabayad ng mga mananaliksik sa seguridad nang napakahusay para sa paghahanap at pag-uulat ng mga bug, sinabi ni Goldshlager sa pamamagitan ng email. "Hindi ko masabi kung magkano, pero nagbabayad sila nang higit pa pagkatapos ng anumang iba pang bug na programa ng bounty na alam ko."

Na-update sa 11:55 a.m. PT upang isama ang isang komento mula sa Facebook.