ΠΡΟΪΟΝΤΑ

Με $20.000 αντάμειψε το Facebook ερευνητή σε θέματα ασφαλείας για την ανακάλυψη τρομερού κενού ασφαλείας!

Ο Jack Whitten, έγραψε για το σημαντικό κενό ασφαλείας – hijacking a facebook account using SMS – στο προσωπικό του blog στις 23 Μαϊου, ωστόσο το Facebook διόρθωσε τον κώδικα και “έκλεισε” το κενό ασφαλείας στις 28 του ίδιου μήνα.

Το exploit ενεργοποιείται εφόσον παραποιήσεις τον τρόπο που το Facebook χειρίζεται τις αναβαθμίσης στα κινητά τηλέφωνα μέσω μηνυμάτων SMS. Όπως είναι, εξηγεί ο Whitten, το Facebook δίνει την δυνατότητα στους χρήστες να συνδέσουν τον λογαριασμό τους στο Facebook με τον τηλεφωνικό αριθμό τους. Εφόσον το κάνουν, οι χρήστες μπορούν να δέχονται ενημερώσεις μέσω SMS ενώ επιπλέον μπορούν να κάνουν log-in στον λογαριασμό τους, χρησιμοποιώντας τον τηλεφωνικό τους αριθμό αντί για την διεύθυνση email τους.

Ο Whitten ανακάλυψε, ότι αποστέλλωντας το γράμμα F σε Facebook SMS κώδικα – που είναι 32665 στην Μ.Βρετανία – το Facebook, απαντούσε αποστέλλωντας πίσω στον χρήστη ένα κωδικό επαλλήθευσης 8 χαρακτήρων.

Με το που καταχωρούσες των 8-ψήφιο κωδικό στο πεδίο ενεργοποίησης και τροποποιώντας το profile_id στοιχεία στην φόρμα fbMobileConfirmationForm, το Facebook έστελνε μία τιμή _user που ήταν διαφορετική από την profile_id που είχε ήδη τροποποιήσει το Whitten!

facebook2 hijack2

Σύμφωνα με τον ερευνητή ασφαλείας, κάτι τέτοιο στην συνέχεια μπορούσε να οδηγήσει σε επανέγκριση αφότου στάλθηκε η αίτηση, αλλά αυτό, λέει ο Whitten, μπορούσε να το κάνει χρησιμοποιώντας το δικό του password, αντί να είναι απαραίτητο να χρειάζεται να μαντέψει το password του στόχου του. Μετά από αυτό το σημείο, το Facebook έστελνε μία επιβεβαίωση μέσω SMS. Από εκεί και πέρα, σύμφωνα με τον Whitten, ο παρείσακτος θα μπορούσε να αιτηθεί για ένα νέο password που αφορά στον λογαριασμό του χρήστη που έχει βάλει στόχο, πάλι μέσω SMS. Φυσικά, από εκεί και πέρα, ο επιτιθέμενος είχε όλα τα δικαιώματα του λογαριασμού του ανυποψίαστου χρήστη.

facebook2 hijack3


Αφότου γνωστοποιήθηκε το περιστατικό στην ομάδα ασφάλειας του Facebook, έκλεισε το κενό, με το να μην αποδέχεται παραμέτρους profile_id από τους χρήστες.

Το Facebook αντάμειψε τον ερευνητή με το ποσό των $20.000, κόστος ελάχιστο σε σχέση με όσα θα μπορούσαν να είχαν συμβεί και βεβαίως γραφτεί για την ασφάλεια των δεδομένων των χρηστών του.

Πατήστε εδώ για να διαβάσετε το πρωτότυπο άρθρο.