חור פייסבוק התוספת המאפשרת חטיפת חשבונות

פייסבוק תוקנה פגיעות חמורה שעלולה לאפשר לתוקפים לגשת בקלות לנתוני חשבונות משתמשים פרטיים ולבקרת חשבונות על ידי הטעיית משתמשים לפתיחה (חוקר אבטחה), אמר חוקר אבטחה ליישום אינטרנט, בסוף השבוע שעבר.

ניר גולדשלגר, החוקר הטוען שמצא את הפגם ודיווח עליו לפייסבוק, פרסם תיאור מפורט והדגמת וידאו על אופן הפעולה של ההתקפה על הבלוג שלו.

הפגיעות עלולה לאפשר לתוקף פוטנציאלי לגנוב פיסות מידע רגישות הנקראות אסימוני גישה של OAuth. פייסבוק משתמש בפרוטוקול OAuth כדי לאפשר גישה של יישומי צד שלישי לחשבונות משתמשים לאחר שהמשתמשים מאשרים אותם. לכל יישום מוקצה אסימון גישה ייחודי לכל חשבון משתמש.

[קריאה נוספת: כיצד להסיר תוכנות זדוניות ממחשב Windows שלך]

Goldshlager מצאה פגיעות באתרי האינטרנט של פייסבוק להתקנים ניידים ומכשירים המאפשרים מגע, הנובעים מחוסר התאמה סניטיזציה של נתיבי כתובות אתרים. הדבר איפשר לו לעצב כתובות אתרים שהיו יכולות לשמש לגניבת אסימון הגישה עבור כל יישום שהמשתמש התקין בפרופיל שלו.

בעוד שרוב היישומים בפייסבוק הם אפליקציות של צד שלישי שהמשתמשים צריכים לאשר באופן ידני, כמה יישומים מובנים כי הם אושרו מראש. יישום אחד כזה הוא פייסבוק Messenger; אסימון הגישה שלו אינו פג, אלא אם המשתמש משנה את הסיסמה שלו ויש לו הרשאות נרחבות לגשת לנתוני החשבון.

Facebook Messenger יכול לקרוא, לשלוח, להעלות ולנהל הודעות, הודעות, תמונות, הודעות דוא"ל, סרטונים ועוד. הפגיעות של מניפולציית URL שנמצאה ב- m.facebook.com וב- touch.facebook.com, יכולה להיות מנוצלת כדי לגנוב אסימון גישה של משתמש ל- Facebook Messenger, אשר היה נותן לתוקף גישה מלאה לחשבון, אמר Goldshlager.

Fingered על ידי צייד באגים

כתובת האתר של ההתקפה היתה יכולה להתקצר עם אחד משירותי קיצור כתובת האתר השונים ונשלחו למשתמשים המתחפשים כקישור למשהו אחר. ההתקפה הייתה גם עובדת על חשבונות שאישורי הפקטור הדו-כיווני של פייסבוק אפשרו להם, אמר גולדשלאגר.

עם קוד האסימון ומזהה המשתמש של Facebook, תוקף יכול לחלץ מידע מחשבון המשתמש באמצעות Explorer API של הגרף, כלי למפתחים זמין באתר של פייסבוק, אמר Goldshlager יום שישי באמצעות דואר אלקטרוני.

לדברי Goldshlager, צוות האבטחה של Facebook קבע את הפגיעות. "לפייסבוק יש צוות אבטחה מקצועי והם פותרים בעיות מהר מאוד", הוא אומר. "אנו מברכים על חוקר האבטחה שהביא את הנושא לנושא ולדיווח אחראי על החרק לתוכנית White Hat", נציג של פייסבוק אמר יום שישי באמצעות דוא"ל. "עבדנו עם הצוות כדי לוודא שהבנו את מלוא היקף הפגיעות, מה שאיפשר לנו לתקן את זה ללא כל הוכחה כי באג זה נוצל בטבע. בשל הדיווחים האחראים על בעיה זו ל- Facebook, אין לנו עדויות לכך שהמשתמשים הושפעו מבאג זה. סיפקנו פרס לחוקר כדי להודות להם על תרומתם לפייסבוק אבטחה. "

החוקר טוען כי הוא מצא גם פגיעויות אחרות הקשורות OAuth המשפיעים על פייסבוק, אך סירב לחשוף כל מידע עליהם כי הם מקלט" עדיין לא תוקן.

פייסבוק מפעילה תוכנית באגים באגים שבאמצעותה היא משלמת תגמולים כספיים לחוקרי אבטחה אשר למצוא ולדווח באחריות על פגיעות המשפיעה על האתר.

Goldshlager אמר בטוויטר כי הוא עדיין לא שולמו על ידי Facebook עבור דיווח על פגיעות זו, אך ציין כי הדו"ח שלו כלל פגיעויות מרובות וכי הוא יקבל כנראה את הפרס לאחר כולם לקבל קבוע.פייסבוק משלמת את חוקרי האבטחה היטב למציאת ודיווח על באגים, אמר גולדשלאגר בדוא"ל. "אני לא יכול להגיד כמה, אבל הם משלמים יותר מאשר כל תוכנית באגים אחרים שאני מכיר."

עודכן בשעה 11:55 בבוקר כדי לכלול הערה מ- Facebook.