A vulnerabilidade está contida no recurso de login do Facebook, que usa o OAuth 2.0 protocolo de autorização.
Pesquisador de segurança Amol Baikar descoberto uma vulnerabilidade crítica no protocolo de autorização OAuth da rede social Facebook. A vulnerabilidade existe há cerca de 10 anos, e sua exploração permite que invasores invadam qualquer conta do Facebook.
O problema está contido na função “Login com Facebook”, que usa o OAuth 2.0 protocolo de autorização para troca de tokens entre a rede social e outros sites.
“Resolvi analisar por que sempre me sinto inseguro ao usar o recurso “Login com Facebook”, já que eles usaram vários URLs de redirecionamento. No entanto, encontrar uma vulnerabilidade no Facebook mesmo tendo os pesquisadores de segurança mais talentosos, não foi uma tarefa fácil. Foi muito difícil e desafiador encontrar um bug no Facebook OAuth”, — escreve Amol Baikar.
Um culpado remoto pode configurar um site malicioso para interceptar o tráfego OAuth e roubar tokens de autorização que fornecem acesso às contas dos usuários-alvo do Facebook.
Depois de explorar com sucesso a vulnerabilidade, um invasor pode enviar mensagens, publicar algo no feed, modificar informações da conta, apagar mensagens, e muito mais em nome da vítima.
O recurso “Login com Facebook” segue o OAuth 2.0 Protocolo de autorização para troca de tokens entre facebook.com e site de terceiros. A falha poderia permitir que invasores sequestrassem o fluxo OAuth e roubassem os tokens de acesso que poderiam usar para assumir o controle de contas de usuários.. Sites maliciosos podem roubar access_token dos aplicativos mais comuns ao mesmo tempo e obter acesso a vários serviços, sites de terceiros. Como Instagram, Óculo, Netflix, Inflamável, Spotify, etc.”, - explicou Amol Baikar.
Usuários do Facebook são orientados a alterar a senha da conta na rede social e sair das contas em todos os dispositivos.
Baikar contou ao Facebook sobre a vulnerabilidade descoberta, e a empresa pagou ao pesquisador uma recompensa de $55 mil.
Ao mesmo tempo, Como eu escrevi, O Facebook tem feito vista grossa ao fato de que em seu outro produto – Whatsapp, search engines index private secret groups.
