Lubang colokan Facebook yang memungkinkan pembajakan akun

Facebook telah menambal kerentanan serius yang dapat memungkinkan penyerang untuk dengan mudah mendapatkan akses ke data akun pengguna pribadi dan mengendalikan akun dengan mengelabui pengguna agar membuka secara khusus dibuat link, seorang peneliti keamanan aplikasi Web mengatakan Kamis malam.

Nir Goldshlager, peneliti yang mengklaim telah menemukan cacat dan melaporkannya ke Facebook, memposting deskripsi rinci dan demonstrasi video tentang bagaimana serangan itu bekerja di blognya.

Kerentanan akan memungkinkan penyerang potensial untuk mencuri potongan informasi sensitif yang dikenal sebagai token akses OAuth. Facebook menggunakan protokol OAuth untuk memberikan akses aplikasi pihak ketiga ke akun pengguna setelah pengguna menyetujuinya. Setiap aplikasi diberi token akses unik untuk setiap akun pengguna.

[Bacaan lebih lanjut: Cara menghapus malware dari PC Windows Anda]

Goldshlager menemukan kerentanan di situs web Facebook untuk perangkat seluler dan sentuh yang berasal dari yang tidak pantas sanitasi jalur URL. Ini memungkinkannya untuk membuat URL yang dapat digunakan untuk mencuri token akses untuk aplikasi apa pun yang telah dipasang pengguna di profilnya.

Meskipun sebagian besar aplikasi di Facebook adalah aplikasi pihak ketiga yang harus disetujui secara manual oleh pengguna, ada beberapa aplikasi bawaan yang sudah disetujui sebelumnya. Salah satu aplikasi tersebut adalah Facebook Messenger; token akses tidak kedaluwarsa kecuali pengguna mengubah kata sandinya dan memiliki izin luas untuk mengakses data akun.

Facebook Messenger dapat membaca, mengirim, mengunggah, dan mengelola pesan, pemberitahuan, foto, email, video, dan banyak lagi. Kerentanan manipulasi URL yang ditemukan di m.facebook.com dan touch.facebook.com, dapat dimanfaatkan untuk mencuri token akses pengguna untuk Facebook Messenger, yang akan memberi penyerang akses penuh ke akun tersebut, kata Goldshlager.

Fingered oleh bug-hunter

URL serangan dapat dipersingkat dengan salah satu dari banyak layanan penyingkat URL dan dikirim ke pengguna yang menyamar sebagai tautan ke hal lain. Serangan itu juga akan bekerja pada akun yang mengaktifkan otentikasi dua faktor Facebook, kata Goldshlager.

Dengan token akses dan ID pengguna Facebook, penyerang dapat mengekstrak informasi dari akun pengguna dengan menggunakan Graph API Explorer, alat untuk pengembang tersedia di situs Facebook, Goldshlager mengatakan Jumat melalui email.

Menurut Goldshlager, Tim Keamanan Facebook memperbaiki kerentanannya. "Facebook memiliki tim keamanan profesional dan mereka memperbaiki masalah dengan sangat cepat," katanya.

"Kami memuji peneliti keamanan yang membawa masalah ini ke perhatian kami dan untuk melaporkan bug secara bertanggung jawab ke Program White Hat kami," perwakilan Facebook kata Jumat melalui email. “Kami bekerja dengan tim untuk memastikan kami memahami cakupan penuh kerentanan, yang memungkinkan kami memperbaikinya tanpa bukti bahwa bug ini dieksploitasi di alam liar. Karena pelaporan yang bertanggung jawab atas masalah ini ke Facebook, kami tidak memiliki bukti bahwa pengguna terkena dampak oleh bug ini. Kami telah memberikan penghargaan kepada peneliti untuk berterima kasih kepada mereka atas kontribusi mereka terhadap Keamanan Facebook. ”

Peneliti mengklaim bahwa dia juga menemukan kerentanan terkait OAuth lainnya yang mempengaruhi Facebook, tetapi menolak untuk mengungkapkan informasi apa pun tentang mereka karena mereka tidak dapat mengaksesnya. Belum diperbaiki.

Facebook menjalankan program hadiah bug melalui mana ia membayar hadiah uang kepada peneliti keamanan yang menemukan dan melaporkan kerentanan secara bertanggung jawab yang mempengaruhi situs tersebut.

Goldshlager mengatakan di Twitter bahwa dia belum dibayar oleh Facebook untuk melaporkan kerentanan ini, tetapi mencatat bahwa laporannya menyertakan beberapa kerentanan dan bahwa ia mungkin akan menerima hadiah setelah semuanya diperbaiki.

Facebook membayar peneliti keamanan dengan sangat baik untuk menemukan dan melaporkan bug, Goldshlager mengatakan melalui email. "Saya tidak bisa mengatakan berapa banyak, tetapi mereka membayar lebih dari program bounty bug lainnya yang saya tahu."

Diperbarui pada 11:55 pagi PT untuk memasukkan komentar dari Facebook.