Критическая уязвимость безопасности в Facebook влияет на 50 миллионов пользователей!

Недавно Facebook опубликовал пресс-релиз о критическом недостатке безопасности, влияющем на его приложение, которое они быстро исправили после обнаружения.

[su_quote]Наше исследование все еще находится на ранней стадии. Но ясно, что злоумышленники использовали уязвимость в коде Facebook, которая повлияла на «View As», функцию, которая позволяет людям видеть, как выглядит их собственный профиль кому-то другому. Это позволило им украсть токены доступа Facebook, которые они могли использовать, чтобы захватить счета людей. Токены доступа являются эквивалентом цифровых ключей, которые заставляют людей войти в Facebook, поэтому им не нужно повторно вводить свой пароль каждый раз, когда они используют приложение.

Во-первых, мы зафиксировали уязвимость и информированное правоприменение.[/su_quote]

Согласно Facebook, они сбросили токены доступа около 50 миллионов пользователей, чьи учетные записи были затронуты данной атакой. Около 90 миллионов пользователей должны будут выйти из своих учетных записей в качестве меры предосторожности.

Facebook далее продолжил рассмотрение этого нарушения:

[su_quote]Во-вторых, мы сбросили токены доступа почти 50 миллионов учетных записей, которые, как мы знаем, были затронуты для защиты их безопасности. Мы также принимаем меры предосторожности для сброса токенов доступа еще на 40 миллионов учетных записей, которые были подвергнуты поиску «View As» в прошлом году. В результате около 90 миллионов человек теперь должны будут вернуться в Facebook или в любое из своих приложений, использующих Facebook Login. После того, как они войдут в систему, люди получат уведомление в верхней части своей ленты новостей, объясняя, что произошло.[/su_quote]

Это само по себе указывает на критичность этой проблемы, которая гарантировала немедленное устранение последствий этого инцидента. Кроме того, они временно отключили функцию View As в ответ на эту атаку, согласно их пресс-релизу –

[su_quote]В-третьих, мы временно отключили функцию «Посмотреть как», так как мы проводим тщательный обзор безопасности.[/su_quote]

Технический анализ

Согласно заявлению Facebook, эта атака кажется эксплойтом, связанным с испорченной реализацией функции, View As, которая, в свою очередь, используется функцией загрузки видео.

[su_quote] Эта атака использовала сложное взаимодействие нескольких проблем в нашем коде. Это было связано с изменением, которое мы внесли в нашу функцию загрузки видео в июле 2017 года, что повлияло на «Просмотр как». Нападавшим не только нужно было найти эту уязвимость и использовать ее для получения токена доступа, но затем они должны были отвиснуть от этой учетной записи до другие, чтобы украсть больше токенов.[/su_quote]

Что такое токены доступа и почему они вызывают беспокойство?

Они в основном используются для выполнения привилегированных действий с помощью учетных записей, которые могут реализовывать API-интерфейс Facebook Graph. Это снова напоминает нам о знаменитых взломах API Graph от популярных исследователей безопасности, которые использовали несколько цепочек эксплойтов, чтобы успешно украсть токены доступа пользователей.