安全研究人员Dan Melamed近日发现了一个Facebook平台的严重漏洞,可以允许攻击者完全控制任何账号。
这个漏洞之所以被认为严重是因为它允许黑客悄悄的黑掉任何Facebook账户。Dan Melamed在他的博客中发表了这个漏洞,他指出黑客只要欺骗受害人访问一段恶意exploit代码,即可以重置其facebook密码。
这个缺陷影响facebook ”claim email address”功能,当一个用户试图增加一个已在facebook注册过的邮箱,他会有一个选项”claim it”,当用户claim一个email地址,facebook不会检查这个请求来源。
当一个用户试图发送请求至一个@hotmail.com邮箱时,他会请求以下链接:
https://www.facebook.com/support/openid/proxy_hotmail.php?appdata[fbid] =AQ3Tcly2XEfbzuCqyhZXfb8_hYHTnHPPd-CDsvdrLzDnWLpsKTMcaXtIzV0qywEwbPs
研究人员发现参数appdata[fbid]是加密后的邮件地址。Dan使用加密后的邮件地址funnyluv196@hotmail.com来进行概念性验证。链接会重定向用户到Hotmail的登录页面。
“你必须使用能够和加密参数匹配的邮件地址登陆账户。一旦登陆后,你会收到最后一个链接,格式像下面这样。”
https://www.facebook.com/support/openid/accept_hotmail.php?appdata= %7B%22fbid%22%3A%22AQ3Tcly2XEfbzuCqyhZXfb8_hYHTnHPPd-CDsvdrLzDnWLps KTMcaXtIzV0qywEwbPs%22%7D&code=a6893043-cf19-942b-c686-1aadb8b21026 ”
网页源码显示邮件流程成功了。
SHAPE \* MERGEFORMAT
Dan Melamed说利用的方法很简单,而且能够成功取决于下面两个重要的条件:
1.链接会在三个小时左右过期,使得黑客可以有时间来利用它。
2.该链接可以被任意Facebook账户浏览,因为没有对谁在进行请求做检查。
为了让受害者中招,黑客只需要以图片或者iframe的方式在网页中插入一个恶意地址(http://evilsite.com/evilpage.html)。
SHAPE \* MERGEFORMAT
“一旦点击了,邮件地址(在这个案例下是:funnyluv196@hotmail.com)会立刻被加到他们的Facebook账户中。受害者没有接到任何邮件地址添加的通知。接下来黑客就可以用这个新添加的邮件地址重置受害者账户的密码了,从而能够完全控制他们的账户。”
这个漏洞已经被Facebook安全团队确认修复,幸运的是该团队对漏洞的响应都非常及时,包括Facebook最近的几个漏洞。不同类型的黑客对Facebook这样流行的社交平台垂涎欲滴,因此滋生了各种各样的针对它的网络犯罪。
