Ville du tro det, hvis vi fortalte dig, at klikke på en enkelt ondsindet link kunne hacke din Facebook-konto? Scenariet er fuldt ud muligt på grund af en nylig afsløret kritisk cross-site anmodning forfalskning (CSRF) sårbarhed. Facebook CSRF-fejlen kunne give angribere mulighed for at kapre konti ved blot at lokke målrettede brugere til at klikke på den specielt udformede URL.
Facebook CSRF-sårbarhed forklaret
Sårbarheden blev opdaget af en forsker kendt online som Samm0uda. Tilsyneladende, Han lagde mærke til en fejlbehæftet endepunkt, der kunne være blevet kompromitteret til at omgå CSRF beskyttelser fører til regnskab overtagelser.
Ifølge forskers rapport og demonstration:
Den sårbare endpoint er https://www.facebook.com/comet/dialog_DONOTUSE/?url = XXXX hvor XXXX er slutpunktet med parametre, hvor POST anmodning kommer til at ske (den CSRF token fb_dtsg tilføjes automatisk til anmodningen krop).
Dette tillod ham at gøre mange tiltag, i tilfælde offeret besøgte en ondsindet udformet webadresse til formålet.
Til konto overtagelse den med succes finde sted, en ny e-mailadresse eller telefonnummer skal tilføjes til ofrets konto.
Spørgsmålet her er, at offeret har til at besøge to separate URL'er – en til at tilføje den e-mail / telefonnummer, og en til at bekræfte det, fordi de ”normale” endepunkter bruges til at tilføje e-mails eller telefonnumre ikke har en ”næste” parameter til at omdirigere brugeren efter en vellykket anmodning, forskeren skrev.
For at omgå denne hindring, forskeren måtte finde endepunkter, hvor den ”næste” parameter var til stede, således at kontoen overtagelse den sker med en enkelt webadresse.
Det skal bemærkes, at når adgangen til brugerens godkendelsestokens opnås, en hacker-styret email adresse føjes til kontoen. Dette gør det muligt for angribere at overtage konti yderligere ved blot at nulstille adgangskoder og låsning af brugeren ud af hans / hendes konto.
Alt i alt, Facebook CSRF-sårbarheden præsenteret af forskeren præsenterer en komplet udnyttelse med et enkelt klik, der gør det muligt for angriberen nemt at kapre konti. Men, dette kan undgås ved hjælp af to-faktor-autentificering føjet til Facebook-konto. 2FA ville forhindre en trussel skuespiller logge ind ofrenes konti, medmindre angribere er i stand til at kontrollere den 6-cifrede adgangskode, som sendes til brugerens mobile enhed.
Det skal bemærkes, at angriberne stadig kan være i stand til at udnytte sårbarheden og udføre forskellige ondsindede handlinger såsom at ændre brugerens profil billede eller udstationering på deres tidslinje.
Sårbarheden er rapporteret til Facebook januar 26, og blev behandlet i januar 31. Den Samm0uda forsker fik $25,000 som en belønning via Facebooks bug bounty program.
Facebook har spildt rundt regnet $4.3 millioner på mere end 2,400 fejlrapporter, sendt af 800 forskere i de kommende år 2011-2016. De fleste af de sårbarheder rapporteret gennem programmet i dette program var XSS (cross-site scripting) bugs, CSRF bugs (såsom den beskrevet i artiklen), og forretningslogik fejl.