研究人员发现了一种零点击漏洞的Facebook账号劫持

Meta解决了一个关键的Facebook漏洞，该漏洞本可以允许攻击者控制任何账户。尼泊尔研究员Samip Aryal将这个缺陷描述为Facebook密码重置流程中特定端点的速率限制问题。攻击者可以利用这个缺陷通过暴力破解特定类型的一次性随机数来接管任何Facebook账户。

Meta奖励了这些研究人员报告这个安全问题，作为Facebook的漏洞赏金计划的一部分。研究人员发现，当用户选择“通过Facebook通知发送代码”时，这个问题会影响到Facebook的密码重置过程。在分析易受攻击的端点时，研究人员发现三个条件为暴力攻击打开了大门：

1. 发送给用户的一次性随机数活动时间比我预期的要长（约2小时）；

2. 同一随机数代码每次发送相同，持续一段时间；

3. 在输入正确代码但之前多次无效尝试后，我没有看到任何代码失效化（与短信重置功能不同）。

选择“通过Facebook通知发送代码”选项将发送一个POST请求到：POST /ajax/recover/initiate/ HTTP/1.1，带有参数；recover_method=send_push_to_session_login。然后，研究人员尝试发送一个6位数码‘000000’以分析发送到易受攻击端点的POST请求：POST /recover/code/rm=send_push_to_session_login&spc=0&fl=default_recover&wsr=0 HTTP/1.1，其中“n”参数保存了一次性随机数。

在这个阶段，对这个6位数值进行暴力破解已经成为专家的一个微不足道的任务。“在这个端点上没有速率限制，因此匹配的代码以302状态码响应。使用这个代码来登录/重置用户账户的FB账号密码。” Aryal 发布的分析中写道。

研究人员注意到，在利用这个漏洞后，Facebook会通知被攻击的用户。通知要么直接显示六位数的代码，要么提示用户点击通知以显示代码。该研究人员于2024年1月30日向Meta报告了这个缺陷，公司在2024年2月2日解决了这个问题。这个漏洞具有巨大的影响，Meta将其认定为零点击账户劫持漏洞。Aryal目前在Facebook 2024年名人堂中排名第一。

原文始发于微信公众号（黑猫安全）：研究人员发现了一种零点击漏洞的Facebook账号劫持