Facebook plugger hul, der tillod konto kapring

Facebook har patchet en alvorlig sårbarhed, der kunne have tilladt angriberne let adgang til private brugerkonto data og kontrol konti ved at narre brugerne til at åbne Specielt udformede links, sagde en web-applikationssikkerhedsforsker sent på torsdag.

Nir Goldshlager, forskeren, der hævder at have fundet fejlen og rapporteret den til Facebook, udgav en detaljeret beskrivelse og video demonstration af, hvordan angrebet fungerede på hans blog.

Sårbarheden ville have tilladt en potentiel angriber at stjæle følsomme informationstyper kendt som OAuth-adgangstokener. Facebook bruger OAuth-protokollen til at give tredjepartsprogrammer adgang til brugerkonti, efter at brugerne har godkendt dem. Hver applikation er tildelt et unikt adgangstoken til hver brugerkonto.

[Yderligere læsning: Sådan fjernes malware fra din Windows-pc]

Goldshlager fandt en sårbarhed på Facebooks websteder til mobil- og berøringsaktiverede enheder, der stammer fra ukorrekte sanitering af URL-stier. Dette tillod ham at udarbejde webadresser, der kunne have været brugt til at stjæle adgangstoken til enhver applikation, som en bruger havde installeret på deres profil.

Mens de fleste applikationer på Facebook er tredjepartsapps, som brugere skal manuelt godkende, er der en Få indbyggede applikationer, der er forhåndsgodkendt. En sådan ansøgning er Facebook Messenger; dets adgangstoken udløber ikke, medmindre brugeren ændrer sit adgangskode, og den har omfattende tilladelser til adgang til kontodata.

Facebook Messenger kan læse, sende, uploade og administrere meddelelser, meddelelser, fotos, e-mails, videoer og meget mere. Webadressemanipuleringssårbarheden fundet på m.facebook.com og touch.facebook.com kunne have været udnyttet til at stjæle en brugers adgangstoken til Facebook Messenger, hvilket ville have givet angriberen fuld adgang til kontoen, sagde Goldshlager.

Fingered af bug-hunter

Angreb-URL'en kunne have været afkortet med en af ​​de mange URL-korttjenester og sendt til brugere, der maskerede som et link til noget andet. Tilfældet ville også have arbejdet på konti, der havde Facebooks tofaktor-godkendelse aktiveret, sagde Goldshlager.

Med adgangstoken og Facebook-bruger-id'et kan en hacker udlede oplysninger fra brugerkontoen ved hjælp af Graph API Explorer, en værktøj til udviklere til rådighed på Facebooks websted, sagde Goldshlager fredag ​​via email.

Ifølge Goldshlager fastslog Facebook Security Team sårbarheden. "Facebook har et professionelt sikkerhedsteam, og de løser problemer meget hurtigt," sagde han.

"Vi bifalder sikkerhedsforskeren, der bragte dette problem under vores opmærksomhed og for ansvarligt at rapportere fejlen til vores White Hat-program", en Facebook-repræsentant sagde fredag ​​via email. "Vi arbejdede sammen med holdet for at sikre, at vi forstod det fulde omfang af sårbarheden, som tillod os at rette det uden bevis for, at denne fejl blev udnyttet i naturen. På grund af den ansvarlige rapportering af dette problem til Facebook har vi intet bevis for, at brugerne blev påvirket af denne fejl. Vi har givet forskere en bounty til at takke dem for deres bidrag til Facebook Security. "

Forskeren hævder, at han også fandt andre OAuth-relaterede sårbarheder, der påvirker Facebook, men afviste at afsløre enhver information om dem, fordi de har ' t er blevet fastsat endnu.

Facebook driver et fejlbidragsprogram, hvorigennem det betaler monetære gevinster til sikkerhedsforskere, der finder og ansvarligt rapporterer sårbarheder, der påvirker webstedet.

Goldshlager sagde på Twitter, at han endnu ikke er blevet betalt af Facebook for rapportering om dette sårbarhed, men bemærkede, at hans rapport omfattede flere sårbarheder, og at han sandsynligvis vil modtage belønningen, efter at alle er blevet fikset.

Facebook betaler sikkerhedsforskere meget godt for at finde og rapportere fejl, sagde Goldshlager via email. "Jeg kan ikke sige hvor meget, men de betaler mere end noget andet bugsebounty-program, som jeg ved."

Opdateret kl. 11:55 til PT for at inkludere en kommentar fra Facebook.