Dovoljno je da kliknete na link da biste izgubili svoj Facebook nalog

Društvene mreže, 19.02.2019, 00:00 AM

Dovoljno je da kliknete na link da biste izgubili svoj Facebook nalog

Samo klik na posebno napravljeni URL mogao bi omogućiti napadaču da hakuje vaš Facebook nalog bez ikakvog vašeg učešća u tome.

Istraživač koji koristi pseudonim “Samm0uda” je otkrio kritičnu CSRF (cross-site request forgery) ranjivost u platformi najpopularnije društvene mreže koja je mogla omogućiti napadačima da preotmu Facebook naloge korisnika ako bi uspeli da ih prevare da kliknu na link.

Samm0uda je otkrio ranjivost u facebook.com/comet/dialog_DONOTUSE/ koja se može iskoristiti za zaobilaženje CSRF zaštite i preuzimanje naloga žrtve.

Sve što napadač treba da uradi je da prevari žrtvu da klikne na posebno napravljeni Facebook URL dizajniran da obavlja različite radnje kao što je postavljanje bilo kakvog sadržaja na vremenskoj liniji profila, promena ili brisanje slike profila korisnika. Napadač čak može da prevari korisnika da izbriše svoj Facebook nalog.

Preuzimanje pune kontrole nad nalozima žrtava ili prevara korisnika sa ciljem brisanja Facebook naloga zahteva dodatne napore napadača, jer žrtve moraju da unesu svoju lozinku pre nego što se nalog izbriše.

Da bi se to postiglo žrtve treba da posete dva URL-a, jedan za dodavanje email adrese ili broja telefona i jedan za potvrdu.

To je zato što “normalne krajnje tačke koje se koriste za dodavanje email adrese ili telefonskih brojeva nemaju parametar “next” za preusmeravanje korisnika nakon uspešnog zahteva”, kaže Samm0uda.

Međutim, istraživaču je ipak uspelo da potpuno preuzime nalog sa samo jednim URL-om tako što je pronašao krajnje tačke gde je parametar “next” prisutan i autorizujući zlonamernu aplikaciju u ime žrtve posle čega je dobio njen pristupni Facebook token.

Sa pristupnim tokenima za autentifikaciju, exploit automatski dodaje email adresu koju kontroliše napadač, omogućavajući napadaču da u potpunosti preuzme naloge žrtava tako što će jednostavno resetovati lozinke i onemogućiti legitimne korisnike da koriste svoje Facebook naloge.

Iako ovo hakovanje Facebook naloga ima više koraka, Samm0uda je rekao da bi potpuna eksploatacija jednim klikom omogućila da napadač hakuje vaš Facebook nalog "u tren oka".

Takvi napadi mogu se ublažiti ako ste omogućili dvofaktornu autentifikaciju za svoj Facebook nalog, jer tako sprečavate hakere da se prijave na vaš nalog jer im nedostaje kod koji stiže na vaš mobilni uređaj.

Međutim, bilo kakvo ublažavanje ne može sprečiti hakere da izvrše neke radnje u vaše ime koristeći ovu ranjivost, kao što su promena ili brisanje slika profila ili albuma ili postavljanje bilo kakvog sadržaja na vašem profilu.

Samm0uda je objavio detalje o ovoj ranjivosti pošto je Facebook priznao grešku i ispravio je 31. januara. Istraživač je za otkriće ovog baga nagrađen sa 25000 dolara.


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

Facebook tuži registar domena zbog zloupotrebe naziva njegovih aplikacija za prevare i fišing

Facebook tuži registar domena zbog zloupotrebe naziva njegovih aplikacija za prevare i fišing

Facebook je ove nedelje podneo tužbu protiv kompanije Namecheap, jednog od najvećih registra domena na internetu. Kompanija tvrdi da je Namecheap od... Dalje

Facebook će dati SZO besplatne reklame, kompanija najavljuje da će uklanjati laži i teorije zavere o korona virusu

Facebook će dati SZO besplatne reklame, kompanija najavljuje da će uklanjati laži i teorije zavere o korona virusu

Facebook će besplatno prikazivati reklame Svetske zdravstvene organizacije koje su u vezi korona virusa, što je deo plana kompanije da zaustavi ši... Dalje

Facebook zabranio reklamiranje lekova za lečenje infekcije korona virusom

Facebook zabranio reklamiranje lekova za lečenje infekcije korona virusom

Facebook je potvrdio da je zabranio sadržaje u kojima se spominje korona virus, kao što su na primer oglasi koji obećavaju izlečenje ili sprečav... Dalje

Posle intervencije irske Komisije za zaštitu podataka, Facebook odložio pokretanje usluge za traženje partnera u Evropi

Posle intervencije irske Komisije za zaštitu podataka, Facebook odložio pokretanje usluge za traženje partnera u Evropi

Facebook je odložio pokretanje svoje usluge za traženje partnera Facebook Dating u Evropi, nakon što su početkom nedelje kompaniju posetili služb... Dalje

Hakovani Facebookovi Instagram i Twitter nalozi

Hakovani Facebookovi Instagram i Twitter nalozi

Facebook je potvrdio da su u petak popodne hakovani zvanični Twitter nalozi kompanije za Facebook i Messenger, kao i Facebookov nalog na Instagramu. ... Dalje