Ένας Ινδός ερευνητής ασφαλείας, ο Amol Nai, ανακάλυψε μια κρίσιμη ευπάθεια στο Social network Facebook και κέρδισε 5000 δολάρια για την κοινοποίηση του στην ομάδα ασφαλείας του Facebook.
Ανακαλύψε μία ευπάθεια – cross-site request forgery (CSRF) αίτημα πλαστογραφίας από άλλη ιστοσελίδα- που επιτρέπει σε έναν εισβολέα να εκτελέσει ενέργειες σαν συνδεδεμένος χρήστης όταν έχει πρόσβαση σε συγκεκριμένες διευθύνσεις URL.
Όταν το Facebook εγκαινίασε το App Center, ο Amol Naik ανακάλυψε ότι τα anti-CSRF tokens σε αιτήματα HTTP δεν επικυρώνονταν από την πλευρά του διακομιστή και ότι ένας εισβολέας είναι συνεπώς σε θέση να προσθέσει εφαρμογές για την πλατφόρμα σαν ένας άλλος χρήστης.
“Υπάρχουν πολλές νέες παράμετροι που προστέθηκαν σε αυτό το νέο χαρακτηριστικό. Η παράμετρος ‘fb_dtsg’ είναι κάτι σαν token και τα ‘perm’ είναι τα δικαιώματα που απαιτούνται από τις εφαρμογές. Οι παράμετροι ’redirect_url’,'app_id’ είναι συγκεκριμένες τιμές. Όλοι οι υπόλοιποι παράμετροι φαίνεται να είναι στατικοί εκτός των ‘new_perms’ και ‘orig_perms’. άρχισα να παίζω λοιπόν με αυτές τις δύο δυναμικές παραμέτρους και μετά από μερικές προσπάθειες, ήξερα ότι δεν χρειάζοταν πλέον για να προσθέσω μια νέα εφαρμογή.” αναφέρει ο ερευνητής στο blog του.
Οι παράμετροι “Anti-CSRF tokens και ‘fb_dtsg’ υποτίθεται ότι χρειαζόταν να επικυρωθούν από το server-side. Συγκλονίστηκα όταν κατάλαβα αυτό το νέο χαρακτηριστικό, κατά κάποιο τρόπο οι developers είχαν κάνει λάθος σε αυτό το σημείο αφού ήταν δυνατό να προσθέσω νέα app χωρίς ‘fb_dtsg’.
Τα μέτρα Anti-CSRF όπως αυτά που χρησιμοποιούνται από το Facebook υποτίθεται ότι θα μπλόκαραν αυτό το είδος της επίθεσης, δημιουργώντας ένα token για κάθε έγκυρη σύνδεση που πρέπει να σταλεί από τον server στον πελάτη με κάθε αίτηση.
Η ομάδα ασφαλείας του Facebook βρήκε και επιδιόρθωσε την ευπάθεια εντός μίας ημέρας αφού είχε έρθει σε επαφή με τον Amol Naik.
iguru.gr , ehackingnews.com
Δεν υπάρχουν σχόλια :
Δημοσίευση σχολίου