Atakujący mógł przejąć kontrolę nad kontem Facebooka, wykorzystując integrację platformy społecznościowej ze zestawem VR Oculus. Eksperci bezpieczeństwa ujawnili podatność na atak CSRF (fałszywe żądanie witryny), która umożliwiała im połączenie konta atakowanego z kontem Oculus atakującego. To połączenie następnie mogło zostać użyte przez atakującego do wydobycia tokenu dostępu ofiary i przejęcie jej konta.
Konsultant bezpieczeństwa Josip Franjković napisał na swoim blogu:
– Oculus umożliwia użytkownikom łączenie swoich kont z Facebookiem w celu uzyskania bardziej społecznościowego doświadczenia. Można to zrobić za pomocą natywnej aplikacji Windows Oculus i przy użyciu przeglądarki. Przyjrzałem się temu bliżej i odkryłem usterkę CSRF, która pozwoliła mi połączyć konto Facebooka ofiary z kontem Oculus atakującego.
W swoich badaniach Franjkovic pokazał, w jaki sposób haker może przejąć kontrolę nad kontami Facebooka, wyszukując do niego hasło dostępu. Wszystko to dzięki wykorzystaniu klucza, który ma również dostęp do GraphQL Facebooka. Przejecie konta jest możliwe dzięki spreparowaniu zapytań GraphQL. Pozwala on na zmianę numeru telefonu zabezpieczającego konto i zmiany hasła.
Facebook wprowadził aktualizację zabezpieczeń po tym jak Josip zgłosił problem w ramach programu nagród za bug. Ale ekspert znalazł kolejny CSRF w procesie logowania, który mógł zostać użyty do przekierowania ofiary na adres Oculusa wybranego przez hakera i umożliwiał ominięcie poprawki. Firma wydała teraz kolejną poprawkę i pozbyła się problemu.
Josip pisze:
– Aktualizacja polega na sprawdzeniu CSRF i dodaniu dodatkowego kliknięcia, aby potwierdzić połączenie między kontami Facebooka i Oculus. Wierzę, że to właściwie naprawia lukę w zabezpieczeniach bez zbytniego obniżania komfortu użytkownika.
Nie wiemy ile FB zapłacił specjaliście zabezpieczeń za zgłoszenie problemu, według serwisu SecurityWeek wydatki na nagrody za zgłaszanie błędów w zeszłym roku wynosiły 880 tys. dolarów. Internet rzeczy z jednej strony dobrodziejstwo z drugiej kolejne furtki do uzyskania dostępu do naszych danych.
Źródło: wccftech