Facebook a abordé deux problèmes sérieux de sécurité communiquées par le réseau social du géant de bug bounty programmes, y compris les données externe fuite affectant potentiellement plus d’un million d’utilisateurs.
À la lumière de la Cambridge Analytica scandale, en avril 2018, la société a élargi sa bug bounty champ d’application pour inclure l’utilisation abusive des données de l’utilisateur par les développeurs.
Le programme, connu sous le nom de Données de l’Abus de Bounty régime, a reçu un rapport de Nightwatch chercheur en Sécurité Yakov Shafranovich qui décrit la façon dont un tiers Android de l’application avec Facebook de l’accès aux API a été la copie et le stockage de données en dehors du réseau social de façon non sécurisée.
Divulgué cette semaine, la défaillance de la sécurité a été découvert en septembre 2018.
L’application Android, disponible dans le Google Play store, se décrit elle-même comme un moyen de “fournir des fonctionnalités supplémentaires à Facebook les utilisateurs qui ne sont pas disponibles par le biais de la plate-forme”, et a été téléchargé plus d’un million de fois.
TechRepublic: Comment créer un caché compte admin dans macOS
Alors qu’il ne sait pas combien d’utilisateurs ont été touchés, il est connu que l’application accessible à l’utilisateur des données via le Facebook de l’API et copié cette information à un Firebase base de données et de l’API serveur sans authentification ou HTTPS protections en place.
“Cela permettrait à un attaquant de masse pour télécharger les données de l’utilisateur stockées par l’application de ses utilisateurs,” Nightwatch de Sécurité dit. “Nous ne savons pas avec certitude combien d’utilisateurs ont été touchés ou exposés, mais l’une des bases de données accessibles contenait plus de 1 000 000 d’enregistrements.”
Le Facebook app associée à la précarité du logiciel a été supprimée, mais l’Android de l’application est toujours disponible.
La fuite a été signalée par le Facebook de Données de l’Abus du programme de primes en septembre, conduisant à la précarité des systèmes de stockage de devenir protégé en novembre. Selon les règles du programme de bug bounty paiement a été émis, et, tandis que la figure n’a pas été divulguée, Facebook offre des gains de jusqu’à 40 000 $pour la validité des rapports.
Ce n’est pas la seule question de la sécurité de Facebook a abordé au cours des derniers mois. Plus tôt cette semaine, un chasseur de bogues qui va sous le nom de Samm0uda divulgué une protection CSRF vulnérabilité liée au contournement découvert dans les principales Facebook de domaine de site web.
“Ce bug pourrait avoir permis à des utilisateurs malveillants afin d’envoyer des requêtes avec les jetons CSRF arbitraire de points de terminaison sur Facebook qui pourrait conduire à une prise de contrôle de victimes des comptes”, le chercheur a dit. “Pour qu’une attaque soit efficace, un attaquant devrait amener la cible en cliquant sur un lien.”
Les plus vulnérables de terminaison facebook.com/comet/dialog_DONOTUSE/?url=XXXX, où XXXX est où le POST demande serait faite. Un jeton CSRF, fb_dtsg, est automatiquement ajouté à la demande du corps, et si un utilisateur visite de l’URL par un conçu, application malveillante, cela permet à un attaquant d’utiliser des jetons pour pirater compte les processus.
“Ceci est possible en raison de la vulnérabilité de point de terminaison qui prend l’autre, compte tenu Facebook extrémité sélectionnée par l’attaquant avec les paramètres et effectue une requête POST à cet effet après l’ajout de la fb_dtsg paramètre,” Samm0uda ajouté. “Aussi ce point de terminaison est situé sous le domaine principal www.facebook.com ce qui le rend plus facile pour l’attaquant de tromper ses victimes pour visiter l’URL.”
Lors du test de la faille de sécurité, le chercheur a constaté qu’il était en mesure de publier des messages sur les échéanciers, de supprimer des photos de profil, et de tromper les utilisateurs dans la suppression de leurs comptes — à la condition que l’utilisateur a entré son mot de passe à la suppression de l’invite.
Afin de bien pirater un compte, il serait nécessaire pour une nouvelle adresse de courriel ou numéro de téléphone pour être ajouté au compte cible. Toutefois, cela nécessiterait une victime à visiter deux Url.
Le bug bounty hunter nécessaires pour contourner ces protections en trouvant des points de terminaison qui ont la “prochaine” paramètre dans le jeu de sorte que d’une prise de contrôle du compte pourrait être faite avec un seul clic.
Voir aussi: l’Ouverture de ce fichier image subventions pirates d’accéder à votre téléphone Android
Samm0uda créé plusieurs scripts hébergé à l’extérieur qui, une fois l’application malveillante est autorisé en tant qu’utilisateur, ont été en mesure de tirer de l’utilisateur jetons d’accès et de dérivation Facebook redirection de protections à force d’ajouter un nouvel e-mail pour le compte cible — permettant potentiellement un pirate de réinitialiser un mot de passe et de prendre plus d’un Facebook profil.
Le piratage de comptes est considéré comme une grave question pour Facebook et les utilisateurs. Le géant technologique a reçu un rapport de la faille de sécurité sur les 26 janvier et a été fixé pour le 31 janvier. Samm0uda reçu un bug bounty récompense de 25 000 $pour ses efforts.
CNET: Facebook, FTC aurait de négociation énorme amende à régler les questions de vie privée
Précédente et de la couverture liée
Ces malveillants Android apps ne grève lorsque vous déplacez votre smartphone
Ce cheval de Troie se fait passer pour Google Play à cacher sur votre téléphone à la vue de tous
Faux Android de Google conduite apps revendication d’un demi-million de victimes
Rubriques Connexes:
De sécurité de la TÉLÉVISION
La Gestion Des Données
CXO
Les Centres De Données