Facebook pluggt Loch, das Account-Hijacking erlaubte

Facebook hat eine ernsthafte Schwachstelle gepatcht, die es Angreifern leicht gemacht hätte, auf private Benutzerkontodaten zuzugreifen und Accounts zu kontrollieren, indem sie Benutzer dazu brachten, sie zu öffnen speziell entwickelte Links, sagte ein Web Application Security Forscher am späten Donnerstag.

Nir Goldshlager, der Forscher, der behauptet, den Fehler gefunden zu haben und es Facebook gemeldet hatte, veröffentlichte eine detaillierte Beschreibung und Video-Demonstration, wie der Angriff auf seinem Blog funktionierte.

Die Sicherheitsanfälligkeit hätte es einem potenziellen Angreifer ermöglicht, vertrauliche Informationen zu stehlen, die als OAuth-Zugriffstoken bezeichnet werden. Facebook verwendet das OAuth-Protokoll, um Anwendungen von Drittanbietern Zugriff auf Benutzerkonten zu gewähren, nachdem Benutzer sie genehmigt haben. Jede Anwendung erhält für jedes Benutzerkonto ein eindeutiges Zugriffstoken.

[Weiterführende Literatur: So entfernen Sie Malware von Ihrem Windows-PC]

Goldshager hat auf den Websites von Facebook eine Sicherheitslücke auf mobilen und touchfähigen Geräten gefunden, die auf unsachgemäße Verwendung zurückzuführen ist Bereinigung von URL-Pfaden Dadurch konnte er URLs erstellen, mit denen das Zugriffstoken für jede Anwendung gestohlen werden konnte, die ein Benutzer in seinem Profil installiert hatte.

Während die meisten Anwendungen auf Facebook Apps von Drittanbietern sind, die manuell genehmigt werden müssen, gibt es a Einige integrierte Anwendungen, die vorab genehmigt wurden. Eine solche Anwendung ist Facebook Messenger; sein Zugriffstoken läuft nur ab, wenn der Benutzer sein Passwort ändert und über umfangreiche Berechtigungen für den Zugriff auf Kontodaten verfügt.

Facebook Messenger kann Nachrichten, Benachrichtigungen, Fotos, E-Mails, Videos und mehr lesen, senden, hochladen und verwalten. Die auf m.facebook.com und touch.facebook.com gefundene URL-Manipulations-Schwachstelle hätte ausgenutzt werden können, um das Zugangstoken eines Nutzers für Facebook Messenger zu stehlen, was dem Angreifer vollen Zugriff auf das Konto verschafft hätte, sagte Goldshager.

Fingered von bug-hunter

Die Angriffs-URL könnte mit einem der vielen URL-Shortener-Dienste gekürzt und an Benutzer gesendet werden, die sich als Link zu etwas anderem tarnen. Der Angriff hätte auch auf Konten funktioniert, bei denen Facebooks Zwei-Faktor-Authentifizierung aktiviert war, sagte Goldshager.

Mit dem Zugriffstoken und der Facebook-Benutzer-ID kann ein Angreifer Informationen aus dem Benutzerkonto mithilfe des Graph-API-Explorers extrahieren Tool für Entwickler auf der Facebook-Website verfügbar, sagte Goldshager Freitag per E-Mail.

Laut Goldshager, das Facebook Security Team die Sicherheitslücke behoben. "Facebook hat ein professionelles Sicherheitsteam und sie beheben Probleme sehr schnell", sagte er.

"Wir applaudieren dem Sicherheitsforscher, der uns auf dieses Problem aufmerksam gemacht und den Fehler unserem White Hat-Programm, einem Facebook-Vertreter, verantwortlich gemeldet hat sagte Freitag per E-Mail. "Wir haben mit dem Team zusammengearbeitet, um sicherzustellen, dass wir den vollen Umfang der Sicherheitslücke verstanden haben, was uns erlaubt hat, das Problem zu beheben, ohne dass Beweise dafür vorliegen, dass dieser Fehler in der Wildnis ausgenutzt wurde. Aufgrund der verantwortlichen Berichterstattung dieses Problems an Facebook haben wir keine Beweise dafür, dass Benutzer von diesem Fehler betroffen waren. Wir haben dem Forscher eine Prämie für seinen Beitrag zu Facebook Security zur Verfügung gestellt. "

Der Forscher behauptet, dass er auch andere OAuth-bezogene Schwachstellen gefunden hat, die Facebook betreffen, aber er weigerte sich, Informationen über sie zu veröffentlichen, weil sie"

Facebook führt ein Bug-Bounty-Programm durch, mit dem Sicherheitsforscher, die Schwachstellen auf der Site finden und verantwortungsbewusst melden, finanzielle Gegenleistung erhalten.

Goldshager sagte auf Twitter, dass er von Facebook noch nicht bezahlt wurde Diese Sicherheitslücke wurde gemeldet, aber es wurde festgestellt, dass sein Bericht mehrere Schwachstellen enthielt und dass er wahrscheinlich die Belohnung erhalten wird, nachdem alle behoben wurden.

Facebook zahlt Sicherheitsforscher sehr gut für das Finden und Melden von Fehlern, sagte Goldshager per E-Mail. "Ich kann nicht sagen, wie viel, aber sie zahlen mehr als jedes andere Bug Bounty Programm, das ich kenne."

Update um 11:55 Uhr PT, um einen Kommentar von Facebook einzufügen.