Ένας ερευνητής ανακάλυψε μια κρίσιμη ευπάθεια στο χαρακτηριστικό ταυτοποίησης του Facebook “Login with Facebook” που επιτρέπει στους επιτιθέμενους να κλέψουν το Access_Token και να αναλάβουν πλήρως την λειτουργία του λογαριασμού του θύματος στο Facebook.
Το Facebook χρησιμοποιεί το OAuth 2.0 ως πρωτόκολλο Authorization που βοηθά στην ανταλλαγή του token από το Facebook και άλλα website τρίτων.
Η ευπάθεια βρίσκεται στη λειτουργία “Login with Facebook”, η οποία επέτρεψε στους επιτιθέμενους να δημιουργήσουν ένα κακόβουλο website και να χρησιμοποιήσουν το access token σε διάφορες εφαρμογές, όπως το Instagram, το Oculus, το Netflix, το Tinder, το Spotify κ.λ.π. μαζί με λογαριασμούς Facebook.
Μόλις ο επιτιθέμενος έκανε compromise τους στοχευμένους λογαριασμούς χρησιμοποιώντας τα κλεμμένα token, μπορούσε να αποκτήσει πλήρη δικαιώματα ανάγνωσης / εγγραφής σε μηνύματα, φωτογραφίες και βίντεο, ακόμη και αν ο έλεγχος απορρήτου έχει οριστεί ως “μόνο εγώ”.
Ο ερευνητής ασφαλείας, Amol Baikar, ο οποίος εντόπισε αυτή την ευπάθεια δήλωσε στο GBHackers Security ότι “Αυτή η κρίσιμη ευπάθεια στο Facebook θα μπορούσε να επιτρέψει την ανάληψη λογαριασμών όπως το Facebook, το Instagram, το Oculus και περισσότερες υπηρεσίες Facebook. Ταυτόχρονα η επίθεση μπορεί να αποκτήσει πρόσβαση σε όλες τις ιστοσελίδες τρίτων όπως το Netflix, Tinder, Spotify. (όπου εφαρμόζεται η σύνδεση στο Facebook) “.
Η ευπάθεια αναφέρθηκε στο Facebook πέρυσι τον Δεκέμβριο και το Facebook κυκλοφόρησε μια γρήγορη λύση για αυτό το κρίσιμο bug. Επίσης εξέδωσε ανταμοιβή ύψους $ 55.000 στο πρόγραμμα bug bounty.
Κλοπή του Access Token και εξαγορά λογαριασμού
Υπάρχουν δύο διαφορετικά σημεία τα οποία είναι σημαντικά σε αυτή την ευπάθεια.
- Λείπει το “X-Frame-Options” header.
- Επιπλέον το “window.parent”, το οποίο αποθηκεύει την μηδενική αλληλεπίδραση του χρήστη, δεν ήταν απαραίτητο να ενεργοποιηθεί με το window.open ή οποιοδήποτε onClick συμβάν.
Στα αποτελέσματα, οι επικοινωνίες δια μέσου των domain ήταν εκτεθειμένες και το access_token μπορούσε να διαρρεύσει σε οποιαδήποτε προέλευση χωρίς τη γνώση των θυμάτων. Έτσι ο συνολικός λογαριασμός θα γινόταν compromise.
Κατά τη διάρκεια της έρευνας, ο Amol παρατήρησε ότι η ευπάθεια που διαρρέει τα graphql tokens του 1ου συμβαλλόμενου μέρους, που βοηθούν στην μετάλλαξη της αναζήτησης που απαιτεί να προσθέσετε και να επιβεβαιώσετε έναν νέο αριθμό τηλεφώνου για την ανάκτηση του λογαριασμού.
“Δεδομένου ότι έχουν γίνει whitelist για queries GraphQL και δεν χρειάζεται να ασχοληθούν με ελέγχους αδειών. Έχουν πλήρη δικαιώματα ανάγνωσης / εγγραφής σε μηνύματα, φωτογραφίες, βίντεο, ακόμη και αν ο έλεγχος απορρήτου έχει οριστεί ως “μόνο εγώ”, δήλωσε ο Amol.
Μερικά από τα πιο σημαντικά σημεία που πρέπει να σημειωθούν για αυτή την ευπάθεια του Facebook είναι τα παρακάτω:
- Όλες οι εφαρμογές Facebook και το access token third party εφαρμογών θα μπορούσαν να διαρρεύσουν ταυτόχρονα. (μέσα σε δευτερόλεπτα).
- Η διαρροή του token έχει πλήρη δικαιώματα ανάγνωσης / εγγραφής / ενημέρωσης / διαγραφής στο λογαριασμό Facebook. (ο επιτιθέμενος μπορεί να κάνει οτιδήποτε με τους λογαριασμούς στο Facebook, συμπεριλαμβανομένης της προσθήκης τηλεφώνου και email τα οποία μπορεί να χρησιμοποιήσει αργότερα για ανάκτηση κωδικού πρόσβασης).
- Λόγω μιας λανθασμένης ρύθμισης του μηνύματος μετά την αποστολή μηνυμάτων, κάποιος που επισκέπτεται ένα website ελεγχόμενο από εισβολέα, θα μπορούσε να έχει κλέψει τα αναγνωριστικά πρόσβασής του πρώτου μέρους για ευάλωτες εφαρμογές χρησιμοποιώντας τη ροή OAuth του Facebook.
- Τα first party tokens δεν λήγουν ποτέ.
- Το first party token παραμένει έγκυρο, ακόμη και αν ο χρήστης αλλάξει τον κωδικό πρόσβασης στο λογαριασμό του στο Facebook. Ο επιτιθέμενος εξακολουθεί να έχει τον έλεγχο του λογαριασμού του χρήστη. Μπορούν να συλλέξουν τα δεδομένα, ακόμη και αν ο χρήστης αλλάζει τον κωδικό πρόσβασης του.
Δεδομένου ότι η ευπάθεια υπάρχει στο χαρακτηριστικό “Login with Facebook” για σχεδόν 10 χρόνια, δεν είναι σαφές αν οι hackers έχουν εκμεταλλευτεί την ευπάθεια ή όχι. Έτσι, στους χρήστες του Facebook συνιστάται να αλλάξουν τον κωδικό πρόσβασης και να φροντίσουν να αποσυνδεθούν από όλες τις συσκευές και να κάνουν επανασύνδεση.
![Pinterest](https://pinterest.com/pin/create/button/?url=https://www.secnews.gr/213877/amoivi-se-opoion-anakalypsei-facebook-sfalma-pou-epitrepei-na-sou-fane-to-profil/&media=https://cdn.secnews.gr/cb:90j0~424ea/w:auto/h:auto/q:mauto/ig:avif/f:best/id:350f4551c0c1def92fbc307d5558110b/https://www.secnews.gr/fACEBOOK-1.jpg&description=Ένας ερευνητής ανακάλυψε μια κρίσιμη ευπάθεια στο χαρακτηριστικό ταυτοποίησης του Facebook "Login with Facebook" που επιτρέπει){kind=link}