Gần đây, một nhà nghiên cứu đã phát hiện ra một lỗ hổng bảo mật nghiêm trọng đối với giả mạo yêu cầu chuyển tiếp (CSRF) trong hầu hết các nền tảng truyền thông xã hội phổ biến hiện nay, cho phép những kẻ tấn công kiểm soát tài khoản Facebook bằng cách lừa nạn nhân nhấp vào một liên kết.
Một nhà nghiên cứu sử dụng nickname Samm0uda trên mạng đã phát hiện ra lỗ hổng này sau khi nhận thấy lỗi tại điểm cuối kết nối (endpoint – điểm cuối của một đường dẫn) có thể được sử dụng để vượt qua bảo vệ CSRF và sau đó chiếm lấy tài khoản. của nạn nhân.
Tin tức liên quan
Nhiều ứng dụng iOS gửi thông tin người dùng đến Facebook
Tất cả những gì kẻ tấn công cần là lừa nạn nhân nhấp vào một liên kết đặc biệt được tạo ra từ liên kết Facebook. Liên kết này được thiết kế để thực hiện nhiều lệnh như đăng bất kỳ thứ gì lên dòng thời gian Facebook, thay đổi hoặc xóa ảnh đại diện, thậm chí xóa tài khoản.
Việc kiểm soát hoàn toàn tài khoản của nạn nhân hoặc lừa họ xóa tài khoản Facebook của họ đòi hỏi sự nỗ lực từ phía kẻ tấn công vì cơ chế bảo mật yêu cầu nhập mật khẩu.
Để làm được điều này, nhà nghiên cứu ẩn danh cho rằng tin tặc cần lừa nạn nhân nhấp vào hai liên kết khác nhau, một trong số đó yêu cầu nhập email, số điện thoại và một liên kết để xác thực. “Vì các điểm cuối thông thường được sử dụng để thêm email hoặc số điện thoại nên không có tham số ‘tiếp theo’ để chuyển hướng người dùng sau khi yêu cầu thành công”, người này cho biết.
Tuy nhiên, nhà nghiên cứu vẫn chiếm toàn bộ tài khoản bằng một đường dẫn duy nhất khi anh ta tìm thấy điểm cuối chứa tham số “Tiếp theo” và sau đó thay mặt nạn nhân ủy quyền cho một ứng dụng đáng ngờ, lấy mã thông báo. truy cập Facebook.
\N
Với mã thông báo truy cập này, một chuỗi lệnh tự động thêm email của kẻ tấn công vào tài khoản Facebook của nạn nhân, cho phép nó toàn quyền kiểm soát sau khi đặt lại mật khẩu và đuổi chủ sở hữu thực sự ra khỏi thông tin đăng nhập.
Việc chiếm đoạt tài khoản là một quá trình gồm nhiều bước, nhưng chỉ với một cú nhấp chuột vào liên kết tấn công có thể mở ra con đường tấn công cho bất kỳ ai “trong chớp mắt”.
Tất nhiên, tỷ lệ thành công sẽ giảm nếu người dùng sử dụng phương pháp xác thực hai yếu tố, ngăn chặn hacker đăng nhập tài khoản nếu không nhập đúng mã 6 số hiển thị trên thiết bị di động cá nhân.
Theo dõi TƯ DUYSamm0uda đã báo cáo chi tiết về những phát hiện của mình cho Facebook vào ngày 26 tháng 1 và công ty đã nhanh chóng giải quyết vấn đề, đồng thời thưởng cho người này 25.000 đô la theo các điều khoản của chương trình Săn lỗi của họ.
