Facebook heeft aangepakt twee ernstige security problemen bekendgemaakt via de sociale netwerken zijn gigantische bug bounty ‘programma’ s, waaronder een externe lekken van gegevens mogelijk invloed op meer dan een miljoen gebruikers.
In het licht van de Cambridge Analytica schandaal, in April 2018, breidde de onderneming haar bug bounty reikwijdte van het misbruik van gegevens van de gebruiker door de ontwikkelaars.
Het programma, bekend als de Gegevens Misbruik Bounty regeling, ontvangen een rapport van de Nachtwacht Security-onderzoeker Yakov Shafranovich die gedetailleerde hoe een derde-partij applicatie voor Android met Facebook API-toegang tot kopiëren en opslaan van gegevens buiten het sociale netwerk in een onveilige manier.
Vermeld deze week, de beveiliging niet werd voor het eerst ontdekt in September 2018.
De Android-app beschikbaar in de Google Play store, beschreef zichzelf als een manier om te zorgen voor “extra functionaliteit aan Facebook-gebruikers die niet beschikbaar zijn via het platform,” en is gedownload meer dan een miljoen keer.
TechRepublic: het maken van een verborgen admin account in macOS
Het is niet bekend hoeveel gebruikers zijn getroffen, het is bekend dat de applicatie geopend gebruiker gegevens via de Facebook API en gekopieerd van deze informatie naar een Firebase database en API-server zonder verificatie of HTTPS beveiligd.
“Dit zou een aanvaller worden gebruikt om de massa te downloaden van de gebruiker gegevens die verzameld zijn door de toepassing van zijn gebruikers,” Nachtwacht Security zegt. “We weten niet zeker hoeveel gebruikers zijn getroffen of worden blootgesteld, maar één van de databanken toegankelijk bevatte meer dan 1.000.000 records.”
De Facebook-app verbonden met de onveilige software is verwijderd, maar de Android-app is nog steeds beschikbaar.
De gegevens lekkage werd gemeld door de Facebook Gegevens Misbruik Bounty programma in September, wat leidt tot de onveilige opslag systemen steeds beschermd in November. Onder de regels van het programma een bug bounty-uitbetaling werd uitgegeven, en terwijl de figuur niet bekend is gemaakt, Facebook biedt een uitbetaling van $40.000 voor geldige rapporten.
Dit is niet de enige beveiligingsprobleem Facebook heeft aangepakt in de afgelopen maanden. Eerder deze week, een bug hunter, die verder gaat onder de naam Samm0uda bekendgemaakt een CSRF bescherming bypass kwetsbaarheid ontdekt in de belangrijkste Facebook het domein van de website.
“Deze bug zou hebben toegestaan kwaadaardige gebruikers voor het verzenden van aanvragen met CSRF token willekeurige eindpunten op Facebook die kunnen leiden tot een overname van de slachtoffers accounts,” de onderzoeker zei. “Om voor deze aanval effectief te zijn, moet een aanvaller te misleiden van het doel te laten klikken op een link.”
De kwetsbare eindpunt was facebook.com/comet/dialog_DONOTUSE/?url=XXXX in die XXXX is waar de POST-aanvraag zou worden gemaakt. Een CSRF token, fb_dtsg, wordt het automatisch toegevoegd aan de aanvraag lichaam, en als een gebruiker de URL door middel van een verhaal, schadelijke app, dit maakt het mogelijk voor een aanvaller om gebruik te maken van tokens te kapen account processen.
“Dit is mogelijk omdat van een kwetsbare eindpunt duurt andere Facebook eindpunt geselecteerd door de aanvaller samen met de parameters en maakt een POST-aanvraag tot het eindpunt dat na het toevoegen van de fb_dtsg parameter” Samm0uda toegevoegd. “Ook dit eindpunt ligt onder de belangrijkste domein www.facebook.com dat maakt het makkelijker voor de aanvaller te misleiden zijn slachtoffers in de URL bezoeken.”
Tijdens het testen van de lek, de onderzoeker ontdekte dat hij in staat was om te publiceren berichten op tijdlijnen, profiel verwijderen foto ‘ s, en gebruikers verleiden tot het verwijderen van hun rekeningen — op voorwaarde dat de gebruiker ingevoerd wachtwoord op de verwijdering gevraagd.
Om volledig te kapen van een account, is het nodig zou zijn voor een nieuw e-mail adres of telefoonnummer worden toegevoegd aan de doel-account. Echter, dit zou vereisen dat een slachtoffer van een bezoek van twee aparte Url ‘ s.
De bug bounty hunter nodig om deze beveiligingen omzeilen door het vinden van de eindpunten die de “next” – parameter in te spelen, zodat een account overname kon worden gemaakt met een enkele klik.
Zie ook: het Openen van deze afbeelding subsidies hackers toegang tot uw Android-telefoon
Samm0uda gemaakt van verschillende scripts extern gehost die, zodra de schadelijke app is goedgekeurd als de gebruiker, waren in staat om de gebruiker toegang lopers en de bypass Facebook omleiding beveiligingen om met kracht het toevoegen van een nieuw e-mail naar het doel account — mogelijk waardoor een kwaadwillende gebruiker, of aanvaller opnieuw instellen van een wachtwoord en de overname van een Facebook profiel.
Account gekaapt wordt geacht een ernstig probleem voor Facebook en gebruikers. De tech reus kreeg een rapport van de lek op 26 januari en werd opgelost met 31 januari. Samm0uda ontvangen een bug bounty beloning van $25.000 voor zijn inspanningen.
CNET: Facebook, FTC naar verluidt onderhandelen enorme boete te regelen zaken als privacy
Vorige en aanverwante dekking
Deze kwaadaardige Android apps zullen alleen strike wanneer u uw smartphone
Deze Trojan zich voordoet als Google Play te verbergen op uw telefoon in het zicht
Nep-Google Android rijden apps claim van een half miljoen slachtoffers
Verwante Onderwerpen:
Beveiliging TV
Data Management
CXO
Datacenters