This post is also available in: Português Español
Uma vulnerabilidade crítica no Facebook foi descoberta por um pesquisador.
O recurso de autorização do Facebook, “Fazer login com Facebook”, possuía uma falha que permitia que os invasores roubassem o Token de acesso dos usuários e assumissem totalmente a conta da vítima.
O pesquisador de segurança indiano Amol Baikar foi quem encontrou essa vulnerabilidade.
Segundo ele, essa vulnerabilidade crítica do Facebook permitia aos invasores a aquisição de contas que estão vinculadas a ele, como por exemplo o Instagram, Netflix, Tinder, Spotify e todos os outros sites e aplicativos de terceiros nos quais o usuário logou utilizando a conta do Facebook.
Essa falha foi relatada ao Facebook em dezembro de 2019 e a solução emitida pelo Facebook para esse bug foi rápida.
O pesquisador ainda recebeu uma recompensa de U$ 55.000 pelo programa de recompensa por erros de divulgação responsável. A maior recompensa já paga.
Roubando o token e dominando a conta do usuário
Dois pontos diferentes foram notificados por Amol de maneira importante nesse fluxo de vulnerabilidade.
O primeiro é a falta do cabeçalho “X-Frame-Option”. O segundo é “window.parent”, que salva a interação do usuário como zero.
O resultados é a exposição da comunicação entre domínios, possibilitando o vazamento do token de acesso do usuário para qualquer origem, sem seu conhecimento e comprometimento da conta.
Fonte: Amol Baikar
Amol, durante sua pesquisa, observou que a vulnerabilidade vazava primeiramente os tokens GraphQL, que se trata de uma linguagem de manipulação e consulta de dados de código fonte aberto para APIs e um tempo de execução para atender a consultas com dados existentes.
O GraphQLFoi desenvolvido internamente pelo Facebook em 2012 e lançado publicamente em 2015.
Fonte: Amol Baikar
O que devemos saber sobre essa falha?
Essa vulnerabilidade crítica permite que todos os aplicativos do Facebook e token de acesso a sites e aplicativos de terceiros podem vazar em poucos segundos e ao mesmo tempo.
O vazamento do token primário possui permissão total sobre a conta da vítima. O invasor pode inclusive ter acesso aos dados pessoais que o usuário coloque em sua conta, como número de telefone e e-mail.
Os tokens de acesso de terceiros não expiram, ficam salvos até que o usuário desvincule sua conta.
O token da vítima continua válido, mesmo após o invasor dominar sua conta. Eles conseguem ter domínio e coletar dados até que a vítima altere sua senha.
Essa vulnerabilidade existiu no recurso “Fazer Login com Facebook” por praticamente 10 anos e não se sabe se o bug foi explorado ou não.
Portanto, é recomendado que todos os usuários do Facebook alterem sua senha e se desconectem de todos os dispositivos nos quais estão logados.
Via: GBhackers.
This post is also available in: Português Español
