Атакующий мог бы перехватить контроль над учетной записью, просто заставив жертву кликнуть на вредоносную ссылку.
Специалист в области кибербезопасности, известный в сети под псевдонимом Samm0uda, обнаружил CSRF-уязвимость (межсайтовая подделка запроса) в Facebook, с помощью которой злоумышленник мог бы перехватить контроль над учетными записями пользователей, просто заставив жертву кликнуть на вредоносную ссылку.
Samm0uda выявил уязвимость после того, как заметил уязвимый эндпойнт (facebook.com/comet/dialog_DONOTUSE/), который мог быть проэксплуатирован для обхода CSRF-защиты и выполнения различных действий от имени жертвы. Исследователь опубликовал демонстрационные URL, которые атакующий мог бы использовать для публикации материалов в ленте, удаления картинки профиля или удаления всей учетной записи. В последнем случае для успешной атаки злоумышленнику потребуется заставить пользователя ввести свой пароль.
Метод также может использоваться для перехвата контроля над учетной записью с помощью запросов, изменяющих адрес электронной почты или номер мобильного телефона в учетной записи жертвы. Если атакующему удастся добавить свой электронный адрес или номер телефона, он сможет воспользоваться функцией сброса пароля для установки нового пароля, блокируя законному владельцу доступ к учетной записи.
Эксплуатация уязвимости потребует некоторых усилий со стороны атакующего, поскольку ему потребуется заставить пользователя перейти по двум отдельным ссылкам, однако эксперту удалось найти способ осуществить атаку с помощью единственного URL. Метод предполагает использование вредоносного приложения, позволяющего получить токены доступа к страницам в Facebook. Атака осуществляется в несколько этапов, но, по словам Samm0uda, весь процесс эксплуатации происходит «в мгновение ока».
Специалист сообщил администрации Facebook об уязвимости в конце января нынешнего года. Компания исправила проблему несколько дней спустя и выплатила исследователю вознаграждение в размере $25 тыс.