Facebook har behandlet to alvorlige sikkerhedsproblemer, der videregives gennem social networking gigant ‘ s bug bounty-programmer, herunder et eksternt data lækage potentielt påvirke mere end en million brugere.
I lyset af Cambridge Analytica skandale i April 2018, har virksomheden udvidet sin bug bounty anvendelsesområde til også at omfatte misbrug af brugerens data som udviklere.
Det program, der er kendt som Misbrug af Data Bounty-ordningen, har modtaget en rapport fra Nattevagten sikkerhedsekspert Yakov Shafranovich som detaljeret, hvordan et tredje-parts program til Android med Facebook API adgang til kopiering og lagring af data uden for det sociale netværk på en usikker måde.
Offentliggjort i denne uge, sikkerhed fejl blev først opdaget i September 2018.
Android applikation, der er tilgængelige i Google Play-butikken, der er beskrevet sig selv som en måde at give “yderligere funktionalitet til Facebook-brugere, der ikke er tilgængelige via den platform,” og er blevet downloadet over en million gange.
TechRepublic: Hvordan at oprette en skjult admin konto i macOS
Mens det vides ikke, hvor mange brugere der har været påvirket, det er kendt, at programmet adgang til brugerens data via Facebook API og kopieret denne information til en Firebase database og API server uden godkendelse eller HTTPS beskyttelsesforanstaltninger på plads.
“Dette ville gøre det muligt for en hacker at masse-download user data akkumulerede af programmet fra dets brugere,” Nattevagten Sikkerhed siger. “Vi kender ikke med sikkerhed, hvor mange brugere der har været ramt eller udsat, men en af de databaser, der er adgang indeholdt over 1.000.000 poster.”
Den Facebook app, der er forbundet med den usikre software er blevet fjernet, men den Android app er stadig tilgængelig.
Data leak blev rapporteret via Facebook Misbrug af Data Bounty program i September, der fører til usikre systemer til lagring bliver beskyttet i November. I henhold til de regler, der i programmet en bug bounty udbetaling blev udstedt, og mens tallet er ikke blevet offentliggjort, Facebook tilbyder udbetalinger på op til $40,000 gyldig rapporter.
Dette er ikke kun spørgsmål om sikkerhed Facebook har behandlet i de seneste måneder. Tidligere i denne uge, en bug hunter, der går under navnet Samm0uda offentliggjort en CSRF-beskyttelse bypass sårbarhed afdækket i de vigtigste Facebook hjemmeside domæne.
“Denne fejl kunne have gjort det ondsindede brugere til at sende anmodninger med CSRF-kuponer til vilkårlig endepunkter på Facebook, som kan føre til, at en overtagelse af ofre konti,” forskeren sagde. “I rækkefølge for dette angreb for at være effektiv, en angriber ville være nødt til at snyde målet til at klikke på et link.”
Den sårbare endpoint var facebook.com/comet/dialog_DONOTUSE/?url=XXXX, hvor XXXX er, hvor POST-anmodning vil blive gjort. En CSRF-token, fb_dtsg, føjes automatisk til anmodning kroppen, og hvis en bruger besøger en URL ved hjælp af en fabrikeret, ondsindet app, dette gør det muligt for en angriber at bruge poletter for at kapre konto processer.
“Dette er muligt på grund af en sårbar endpoint, som tager en anden given Facebook endpoint er valgt af angriberen sammen med de parametre og gør en POST-anmodning til denne effektparameter efter at tilføje fb_dtsg parameter,” Samm0uda tilføjet. “Også denne egenskab er placeret under det primære domæne www.facebook.com hvilket gør det nemmere for angriberen at narre sine ofre til at besøge den URL-adresse.”
Mens test sikkerhedshul, forskeren fandt, at han var i stand til at udgive indlæg på tidslinjerne, skal du slette profilbilleder, og narre brugere til at slette deres konti-på den betingelse, at brugeren indtaster deres password ved sletning-prompten.
For fuldt ud at kapre en konto, vil det være nødvendigt for en ny e-mail-adresse eller telefonnummer for at blive tilføjet til målkontoen. Dette vil imidlertid kræve et offer for at besøge to separate Webadresser.
Den bug bounty hunter er nødvendige for at omgå denne beskyttelse ved at finde effektparametre, der har den “næste” parameter i leg, så en konto overtagelse kan gøres med et enkelt klik.
Se også: Åbning af dette billede fil tilskud hackere adgang til din Android-telefon
Samm0uda skabt flere scripts hosted eksternt, som, når ondsindede app er godkendt som bruger, var i stand til at trække bruger access tokens og bypass Facebook omdirigering beskyttelse til kraftigt at tilføje en ny e-mail til målet konto — potentielt giver en hacker mulighed for at nulstille en adgangskode og overtage en Facebook profil.
Konti anses for et alvorligt problem for Facebook og brugere. Tech giant modtaget en rapport om sikkerhedshul på 26 januar og blev fastsat af 31. januar. Samm0uda modtaget en bug bounty belønning af $25.000 for hans indsats.
CNET: Facebook, FTC efter sigende forhandle massiv bøde for at bosætte sig privatlivets fred
Tidligere og relaterede dækning
Disse ondsindede Android-apps, som vil kun ramme, når du flytter din smartphone
Denne Trojan er forklædt som Google Play for at gemme på din telefon i et almindeligt syn
Falske Google Android køre apps, der hævder, at en halv million ofre
Relaterede Emner:
Sikkerhed-TV
Data Management
CXO
Datacentre