Какво доведе до най-мащабната уязвимост в историята на Facebook?
Технически атаката най-вероятно е станала възможна заради комбинация от няколко уязвимости, свързани с функцията View as
Последен ъпдейт на 15 октомври 2018 в 15:32 ч.
Макар и твърде рано (буквално часове) след оповестяването на най-големия хак в историята на Facebook, започнаха да се появяват теории за причинните, довели до най-големия хак в историята на социалната мрежа. Личните данни на над 50 млн. потребителя са били компроментирани поради уязвимост, започнала през юли 2017 г.
Официалната информация на компанията гласи, че разследването все още тече – но е ясно, че функцията View as (Покажи като) е позволява генерирането на Access Token (буквално – ключове за достъп) до чужди профили. Според блога за сигурност Naked Security кражбата на един Access Token означава, че един потребител може да се сдобие с достъп до профила на свой приятел, след което да използва този достъп и със същата механика да достъпва профилите на приятелите на приятелите си – и т.н.
Прочетете още: Минимум 50 млн. потребители засегнати от уязвимост във Facebook
Комбинация от бъгове
Технически атаката най-вероятно е станала възможна заради комбинация от няколко уязвимости.
Едната се крие във функция на Facebook, която ви позволява да честитите рождения ден на ваш приятел, като публикувате нещо не стената му. В режим View As тази функция не би трябвало да е активна. Оказва се обаче, че е било възможно да публикувате видео, докато сте в режим View As.
Втората уязвимост е, че при публикуването на видео в режим View As, платформата е генерирала Access Token, който е имал привилегиите на мобилното приложение на Facebook.
Третата уязвимост е, че генерираният токен е имал привилегии не за вашия профил, а за профила на човека, за когото се представяте в режим View As.
Механиката на кражбата
Тези три уязвимости са направили възможен следния сценарий.
- Да кажем, че искате да видите как изглежда профила ви през очите на вашия приятел Борис.
- Докато сте в режим View As, уязвимостта позволява да публикувате на собствената си стена публикация: въпреки, че това не би трябвало да е възможно.
- Ако решите да го направите, Facebook създава Access Token. Той обаче не е за вашия профил, а за профила за Борис.
- Токенът е скрит в HTML кода на страницата и може да бъде взет от там.
- Така на практика се сдобивате с ключ към профила на Борис.
Щетите са отвъд Facebook
Часове след като уязвимостта беше обявена публично, стана ясно, че тя вероятно ще се отрази и на други онлайн услуги като Spotify и Airbnb. Става дума за услуги, които използват функцията Facebook Login – възможността да се регистрирате в онлайн услуги, използвайки данните си за достъп от Facebook.
Прочетете още: Кражбата на Facebook акаунти се простира много извън Facebook
В някои мобилни приложения използването на Facebook дори е неизбежно – например, Tinder.
Специалисти по кибер сигурност предупреждават и за вълни от фишинг атаки, които ще последват след новината за кражбата на онлайн идентичност.