Aumentar a visibilidade de TI e de negócios valor
A API de sobra que o Facebook se esqueceu de matar deixou contas em aberto para spammers e golpistas, diz Stephen Sclafani segurança. A falha significa um invasor pode ver as mensagens de outros usuários e atualizações de status post.
Sclafani descobriram que um ponto de extremidade, em seguida, mal-configurados, já remendado, permitiu API legado chamadas REST a ser feita em nome de qualquer fanático Facebook desde que o seu ID de usuário era conhecido.
O endpoint API REST foi o antecessor ainda ativa do núcleo Graph API do Facebook que permitia aos desenvolvedores ler e gravar dados no Facebook.
Atacantes qualificados poderia explorar o vetor para ganhar quase o mesmo controle de contas como usuários legítimos. Eles podiam atualizar os status dos usuários, incluindo postar links para prazos amigo; publicar e excluir comentários e notas; enviar e apagar fotos, e 'como' conteúdo.
Sclafani disse que os fluxos de autenticação API também eram vulneráveis permitindo a aquisição relato completo, mas eram menos propensos a ser bem sucedido como os usuários tinham que clicar em links "uma atacantes.
"Tudo isso pode ser feito sem qualquer interação por parte do usuário", Sclafani ( @ Stephen disse).
"Tanto o fluxo de web API REST e autenticação de mesa eram vulneráveis a CSRF (cross-site request forgery) questões que levaram à aquisição relato completo.
A API legado ainda foi usado por muitas aplicações, incluindo aplicativos móveis do Facebook e por isso não foi simplesmente descartado, afirmou que a equipe de segurança do Facebook.
Enquanto não havia nenhuma indicação a falha foi explorada, mentes nefastas poderia inventar uma variedade de meios para monetizar exploração por chantagear os utilizadores de contas sensíveis ou de alto nível ou por meio de spam caixas de entrada.
Sclafani relatou a falha para Facebook em abril e publicou detalhes uma parte de um blog em duas partes esta semana. Melan Parque pagou-lhe uma arrumada 20.000 dólares em seu programa de recompensas bug .
Cargas de detalhes técnicos estão disponíveis no seu blogue . ®
Nenhum comentário:
Postar um comentário