Facebook, hesabın kaçırılmasına izin veren deliği

Facebook, saldırganların kullanıcılarını açarak kullanıcıları kandırarak özel kullanıcı hesabı verilerine ve kontrol hesaplarına kolayca erişmelerini sağlayacak ciddi bir güvenlik açığı yayar. Özellikle web sitesi güvenlik araştırmacısı tarafından hazırlanan linkler, Perşembe günü geç dedi.

Kusurunu bulduklarını iddia eden ve Facebook'a bildiren araştırmacı olan Nir Goldshlager, saldırının blogunda nasıl çalıştığına dair detaylı bir açıklama ve video gösterisi yayınladı.

Güvenlik açığı, olası bir saldırganın OAuth erişim belirteçleri olarak bilinen hassas bilgi parçalarını çalmasına izin verebilirdi. Facebook, kullanıcılar onayladıktan sonra üçüncü taraf uygulamalarına kullanıcı hesaplarına erişim vermek için OAuth protokolünü kullanır. Her uygulamaya, her kullanıcı hesabı için benzersiz bir erişim kodu atanır.

[Daha fazla okuma: Windows PC'nizden kötü amaçlı yazılım nasıl kaldırılır]

Goldshlager, Facebook'un web sitelerinde uygunsuz ve yanlış kullanımdan kaynaklanan mobil cihazlar ve dokunmatik cihazlar için bir güvenlik açığı buldu URL yollarının sanitizasyonu. Bu, kullanıcının kendi profiline yüklediği herhangi bir uygulama için erişim belirtecini çalmak için kullanılabilecek URL'leri oluşturmasına izin verdi.

Facebook'taki çoğu uygulama, kullanıcıların manuel olarak onaylaması gereken üçüncü taraf uygulamalardır. Önceden onaylanmış birkaç yerleşik uygulama. Böyle bir uygulama Facebook Messenger; Kullanıcı şifresini değiştirmediği ve hesap verilerine erişmek için kapsamlı izinlere sahip olmadığı sürece erişim belirtecinin süresi sona ermez.

Facebook Messenger mesajlar, bildirimler, fotoğraflar, e-postalar, videolar ve daha fazlasını okuyabilir, gönderebilir, yükleyebilir ve yönetebilir. Goldshlager, parmaklarınızın Facebook'a erişebilmesi için, m.facebook.com ve touch.facebook.com adreslerinde bulunan URL manipülasyonu güvenlik açığı ile saldırganın hesaba tam erişimini sağlayacak olan bir kullanıcı ismini çalmak için kullanılabilirdi.

Parmaklı tarafından bug-hunter

Saldırı URL'si, birçok URL kısaltıcı hizmetinden biriyle kısaltılabilir ve başka bir şeye bağlantı olarak maskelenen kullanıcılara gönderilebilir. Saldırı, Facebook'un iki faktörlü kimlik doğrulaması etkinleştirilmiş hesaplarda da çalışacaktı, dedi Goldshlager.

Erişim belirteci ve Facebook kullanıcı kimliğiyle, bir saldırgan, Graph API Gezgini'ni kullanarak kullanıcı hesabından bilgi alabilir. Facebook sitesinde bulunan geliştiriciler için bir araç olan Goldshlager, e-posta yoluyla Cuma günkü demişti.

Goldshlager'e göre, Facebook Güvenlik Ekibi güvenlik açığını kapattı. "Facebook'un profesyonel bir güvenlik ekibi var ve sorunları çok hızlı bir şekilde çözüyorlar" dedi.

“Bu konuyu dikkatimize sunan ve White Hat Programımıza hatayı bildiren güvenlik araştırmacısını alkışlıyoruz”, bir Facebook temsilcisi e-posta yoluyla Cuma dedi. “Güvenlik açığının tam kapsamını anladığımızdan emin olmak için ekiple birlikte çalıştık, bu da bu hatanın vahşi ortamda sömürüldüğüne dair herhangi bir kanıt olmadan düzeltmemize izin verdi. Bu konunun Facebook'a bildirilmesinden dolayı, kullanıcıların bu hatadan etkilendiğine dair hiçbir kanıtımız bulunmamaktadır. Araştırmacıya Facebook Güvenliğine katkılarından ötürü teşekkür etmek için teşekkür ettik. ”

Araştırmacı, Facebook'u etkileyen diğer OAuth ile ilgili diğer güvenlik açıklarını da bulduğunu iddia ediyor, ancak onlar hakkında herhangi bir bilgiyi açıklamadıkları için reddettiler. t

Facebook, bugüne kadar siteyi etkileyen güvenlik açıklarını bulan ve sorumlu bir şekilde bildiren güvenlik araştırmacılarına para ödülleri kazandığı bir hata ödül programı yürütüyor.

Goldshlager Twitter'da Facebook için henüz ödeme almadığını söyledi. Bu güvenlik açığını bildirmekle birlikte, raporunun birden çok güvenlik açığını içerdiğini ve bunların hepsinin düzeltilmesinden sonra ödül alacağını belirtti.

Facebook, araştırmacıları hata bulma ve bildirme konusunda çok iyi ödüyor, Goldshlager ise e-posta yoluyla söyledi. "Ne kadar diyemeyiz, ama bildiğim diğer hata ödül programlarını öderler."

Facebook'tan bir yorum eklemek için saat 11: 55'te güncellendi.