Foro di plug-in di Facebook che permetteva il dirottamento dell'account

Facebook ha corretto una vulnerabilità grave che avrebbe potuto consentire agli aggressori di accedere facilmente ai dati dell'account utente privato e controllare gli account ingannando gli utenti nell'apertura link appositamente predisposti, un ricercatore della sicurezza delle applicazioni Web ha dichiarato giovedì.

Nir Goldshlager, il ricercatore che afferma di aver trovato il difetto e segnalato a Facebook, ha pubblicato una descrizione dettagliata e una dimostrazione video di come l'attacco ha funzionato sul suo blog.

La vulnerabilità avrebbe consentito a un potenziale aggressore di rubare informazioni sensibili note come token di accesso OAuth. Facebook utilizza il protocollo OAuth per consentire alle applicazioni di terzi di accedere agli account utente dopo che gli utenti li hanno approvati. A ogni applicazione viene assegnato un token di accesso univoco per ogni account utente.

[Ulteriori informazioni: Come rimuovere malware dal PC Windows]

Goldshlager ha riscontrato una vulnerabilità sui siti Web di Facebook per dispositivi mobili e abilitati al tocco che derivavano da sanificazione dei percorsi URL. Ciò gli ha permesso di creare URL che avrebbero potuto essere utilizzati per rubare il token di accesso per qualsiasi applicazione che un utente aveva installato sul proprio profilo.

Mentre la maggior parte delle applicazioni su Facebook sono app di terze parti che gli utenti devono approvare manualmente, ci sono alcune applicazioni integrate preapprovate. Una di queste applicazioni è Facebook Messenger; il suo token di accesso non scade a meno che l'utente non modifichi la sua password e abbia ampie autorizzazioni per accedere ai dati dell'account.

Facebook Messenger può leggere, inviare, caricare e gestire messaggi, notifiche, foto, email, video e altro. La vulnerabilità di manipolazione degli URL trovata su m.facebook.com e touch.facebook.com, avrebbe potuto essere sfruttata per rubare il token di accesso di un utente per Facebook Messenger, il che avrebbe consentito all'aggressore di accedere completamente all'account, ha detto Goldshlager.

Fingered by bug-hunter

L'URL di attacco avrebbe potuto essere abbreviato con uno dei tanti servizi di abbreviazione degli URL e inviato agli utenti mascherati da un collegamento a qualcos'altro. L'attacco avrebbe anche funzionato su account che avevano l'autenticazione a due fattori di Facebook abilitata, ha affermato Goldshlager.

Con il token di accesso e l'ID utente di Facebook, un utente malintenzionato può estrarre informazioni dall'account utente utilizzando Graph API Explorer, un Strumento per sviluppatori disponibile sul sito di Facebook, Goldshlager ha detto venerdì via e-mail.

Secondo Goldshlager, il team di sicurezza di Facebook ha corretto la vulnerabilità. "Facebook ha un team di sicurezza professionale e risolve i problemi molto velocemente", ha detto.

"Applaudiamo il ricercatore di sicurezza che ha portato questo problema alla nostra attenzione e per aver segnalato responsabilmente il bug al nostro programma White Hat", un rappresentante di Facebook ha detto venerdì via e-mail. "Abbiamo lavorato con il team per assicurarci di aver compreso l'intera portata della vulnerabilità, che ci ha permesso di risolverlo senza alcuna prova che questo bug fosse sfruttato in natura. A causa della segnalazione responsabile di questo problema su Facebook, non abbiamo prove che gli utenti siano stati influenzati da questo bug. Abbiamo offerto una ricompensa al ricercatore per ringraziarli del loro contributo alla sicurezza di Facebook. "

Il ricercatore afferma di aver scoperto anche altre vulnerabilità legate a OAuth che riguardano Facebook, ma ha rifiutato di rivelare qualsiasi informazione su di loro perché non hanno"

Facebook gestisce un programma di bug bug attraverso il quale paga i guadagni monetari ai ricercatori di sicurezza che trovano e segnalano responsabilmente le vulnerabilità che interessano il sito.

Goldshlager ha detto su Twitter di non essere stato ancora pagato da Facebook per segnalando questa vulnerabilità, ma ha notato che il suo rapporto includeva vulnerabilità multiple e che probabilmente riceverà la ricompensa dopo che tutte saranno state corrette.

Facebook paga i ricercatori di sicurezza molto bene per trovare e segnalare bug, ha detto Goldshlager via email. "Non posso dire quanto, ma pagano di più di qualsiasi altro programma di bug bug che conosco."

Aggiornato alle 11:55 PT per includere un commento da Facebook.