Внешние базы данных использовались разработчиками приложений Android, которые собирали и хранили пользовательские данные.
Facebook решил две серьезные проблемы безопасности, обнаруженные в рамках программ вознаграждения за ошибки гиганта социальных сетей, включая утечку внешних данных, которая потенциально может затронуть более миллиона пользователей.
В свете Скандал с Cambridge AnalyticaВ апреле 2018 года компания расширила сферу действия вознаграждения за ошибки, включив в нее неправомерное использование разработчиками пользовательских данных.
Безопасность
- 8 привычек высокозащищенных удаленных работников
- Как найти и удалить шпионское ПО с телефона
- Лучшие VPN-сервисы: как сравнить пятерку лучших?
- Как узнать, причастны ли вы к утечке данных, и что делать дальше
Программа, известная как Схема вознаграждения за злоупотребление данными, получил отчет от исследователя Nightwatch Security Якова Шафрановича, который подробно рассказал, как сторонний Android приложение с доступом к Facebook API копировало и хранило данные за пределами социальной сети в небезопасный способ.
Сбой в системе безопасности, о котором стало известно на этой неделе, впервые был обнаружен в сентябре 2018 года.
Приложение Android, доступное в магазине Google Play, описывало себя как способ предоставить «дополнительные функциональность для пользователей Facebook, которая недоступна через платформу», и был загружен более одного раза. миллион раз.
Техреспублика: Как создать скрытую учетную запись администратора в macOS
Хотя неизвестно, сколько пользователей пострадало, известно, что приложение получало доступ к пользовательским данным через Facebook API и скопировал эту информацию в базу данных Firebase и на сервер API без какой-либо аутентификации или защиты HTTPS. на месте.
«Это позволит злоумышленнику массово загружать пользовательские данные, накопленные приложением, от его пользователей», — говорят в Nightwatch Security. «Мы не знаем наверняка, сколько пользователей пострадало или подверглось воздействию, но одна из баз данных, к которым был получен доступ, содержала более 1 000 000 записей».
Приложение Facebook, связанное с небезопасным программным обеспечением, было удалено, но приложение Android по-прежнему доступно.
Об утечке данных стало известно в рамках программы Facebook Data Abuse Bounty в сентябре, что привело к тому, что небезопасные системы хранения данных были защищены в ноябре. По правилам программы было выплачено вознаграждение за обнаружение ошибок, и хотя цифра не разглашается, Facebook предлагает выплаты. до $40 000 для действительных отчетов.
Это не единственная проблема безопасности, с которой Facebook столкнулся за последние месяцы. Ранее на этой неделе появился охотник за ошибками под именем Самм0уда раскрыл Уязвимость обхода защиты CSRF обнаружен в основном домене веб-сайта Facebook.
«Эта ошибка могла позволить злоумышленникам отправлять запросы с токенами CSRF на произвольные конечные точки Facebook, что могло привести к захвату учетных записей жертв», — сказал исследователь. «Чтобы эта атака была эффективной, злоумышленнику придется обманом заставить цель щелкнуть ссылку».
Уязвимой конечной точкой была facebook.com/comet/dialog_DONOTUSE/?url=XXXX, где XXXX — это место, где будет выполняться запрос POST. Токен CSRF, fb_dtsg, автоматически добавляется в тело запроса, и если пользователь посещает URL-адрес, созданное вредоносное приложение позволяет злоумышленнику использовать токены для захвата учетной записи. процессы.
«Это возможно из-за уязвимой конечной точки, которая использует другую конечную точку Facebook, выбранную злоумышленником. вместе с параметрами и отправляет POST-запрос к этой конечной точке после добавления параметра fb_dtsg», — добавил Samm0uda. «Кроме того, эта конечная точка расположена под основным доменом www.facebook.com, что позволяет злоумышленнику обманом заставить своих жертв посетить URL-адрес».
Тестируя уязвимость, исследователь обнаружил, что может публиковать сообщения в хронике, удалять профиль изображения и обманом заставляют пользователей удалить их учетные записи — при условии, что пользователь ввел свой пароль при удалении. быстрый.
Чтобы полностью захватить учетную запись, необходимо добавить к целевой учетной записи новый адрес электронной почты или номер телефона. Однако для этого жертве потребуется посетить два разных URL-адреса.
Охотнику за головами нужно было обойти эту защиту, найдя конечные точки, у которых есть активный параметр «следующий», чтобы захват учетной записи можно было осуществить одним щелчком мыши.
Смотрите также: Открытие этого файла изображения предоставляет хакерам доступ к вашему телефону Android.
Samm0uda создал несколько скриптов, размещенных на внешнем сервере, которые, как только вредоносное приложение авторизовывалось как пользователь, могли получать токены доступа пользователя и обходить Facebook. защита от перенаправления для принудительного добавления нового адреса электронной почты в целевую учетную запись, что потенциально позволяет злоумышленнику сбросить пароль и захватить профиль Facebook.
Взлом аккаунта считается серьезной проблемой как для Facebook, так и для пользователей. Технический гигант получил отчет об уязвимости 26 января и был исправлен к 31 января. За свои усилия Samm0uda получил вознаграждение в размере 25 000 долларов США.
vrenture.com/: Сообщается, что Facebook и Федеральная торговая комиссия ведут переговоры о крупном штрафе для решения вопросов конфиденциальности
Как обнаружить и уничтожить шпионское ПО на смартфоне (в картинках)
Предыдущее и связанное освещение
-
Эти вредоносные приложения для Android поражают только тогда, когда вы перемещаете свой смартфон
-
Этот троянец маскируется под Google Play и скрывается на вашем телефоне на виду
-
Поддельные приложения для вождения Google Android унесли полмиллиона жертв