Milióny Facebook účtov používateľov, ktorí používajú Gmail, mohli byť hacknuté. Umožňovala to táto chyba!
Zreťazenie pár chýb vedelo viesť k pomerne jednoduchému ukradnutiu Facebook účtu. Ohrození boli najmä používatelia s Gmail účtom.
Žiadny systém nie je stopercentný. Presvedčila sa o tom aj samotná sociálna sieť Facebook. V overovaní prihlasovania používateľa bolo prostredníctvom zreťazenia pár chýb pomerne jednoduché získať prístup k účtu používateľa. Na informáciu upozornil analytik Youssef Sammouda prostredníctvom webu ysamm.com.
Bug zameraný na Gmail používateľov
Testovanie zreťazenia chýb bolo zamerané na používateľov Google služieb, konkrétne e-mailovej schránky Gmail, ktorí využívali funkciu prepojenia účtov. Pre tých, ktorí nevedia, tak ide o funkciu, pomocou ktorej sa môžeme prihlásiť do služby prostredníctvom existujúceho účtu z inej služby. V tomto prípade išlo o Google účet, prostredníctvom ktorého sa používatelia prihlasovali do sociálnej siete. Útočník pomocou zreťazenia chýb vedel získať prístup k overovaciemu kódu, ktorý bol zaslaný na Gmail. Následne vedel získať prístup k celému Facebook účtu používateľa.
Prvým krokom v tejto reťazi chýb je overenie pomocou Captcha. Pre toto overenie si Facebook požičal Google Captcha, ktoré ale bolo do samotnej stránky zle a pomerne jednoducho implementované cez sandbox doménu https://fbsbx.com.
Bezpečnosť samotného sandboxu je zväčša na oveľa nižšej úrovni a preto pomocou XSS (nájdenia chýb v kóde) nebol pre skúseného útočníka problém získať prístup k sandboxu a k údajom, ktoré v ňom pristanú. Týchto údajov sa týka aj samotný overovací kód, ktorý je zasielaný na Gmail. Ak je totiž užívateľ prihlásený vo svojom Gmail účte, tak ten automaticky odošle Facebooku odpoveď s podobou daného kódu pre overenie používateľa.
Tento kód ale pristál v sandboxe, ku ktorému mal prístup útočník. No a obídenie overenia bolo na svete. Bolo to možné dôvodu, že Facebook umožňuje vývojárom testovať určité funkcie a povoľuje im nahrávať vlastné HTML súbory na doménu fbsbx.com. O chybe bol Facebook samozrejme informovaný a dnes je už chyba napravená. Čo je nutné ale dodať, je fakt, že prostredníctvom tejto chyby mohlo prísť ku krádeži mnohých účtov. Popularitu Gmail účtov totiž nie je možné spochybniť a taktiež naviazanosť mnohých Facebook účtov práve na tie Gmail.
Neprehliadnite
„Gmail odošle kód/token OAuth späť na stránku www.facebook.com, ak je používateľ prihlásený do služby Gmail, a keďže útočník môže ukradnúť čokoľvek, čo prichádza na stránku www.facebook.com, tak môže použiť kód Google OAuth za účelom prihlásenia sa na Facebook účet, s ktorým je prepojený daný Gmail účet.“ vysvetľuje Sammouda.
Pre tých, ktorí nevedia, tak OAuth je štandardný autorizačný protokol. Umožňuje nám získať prístup k chráneným údajom z aplikácie. Prístupový token OAuth je reťazec, ktorý klient OAuth používa na odosielanie požiadaviek na zdrojový server. A keďže útočník môže ukradnúť URL vrátane prihlasovacích parametrov ich odoslaním do sandboxovej domény, môže zachytiť reťazec prístupového tokenu OAuth a id_token používateľa.
Sammouda prítomnosť chyby Facebooku ohlásil ešte koncom februára. Sociálna sieť v druhej polovici marca chybu opravila a zároveň odmenila nálezcu bugu sumou 44 tisíc dolárov.
V súvislosti s krádežou účtu nám dovoľte dať vám do pozornosti článok, kde sme sa venovali téme, ako môžete zistiť, či nie je niekto cudzí prihlásený k vášmu účtu.
Komentáre