Meta解决了Facebook的一个关键漏洞,该漏洞可能允许攻击者控制任何账户。
尼泊尔研究人员Samip Aryal将该漏洞描述为Facebook密码重置流程中特定端点的速率限制问题。攻击者可以通过暴力破解特定类型的nonce来利用该漏洞接管任何Facebook账户。
Meta奖励这些报告安全问题的研究人员,作为Facebook漏洞赏金计划的一部分。
研究人员发现,当用户选择“通过Facebook通知发送代码”时,这个问题会影响Facebook的密码重置过程。
通过分析易受攻击的端点,研究人员发现有三个条件为暴力攻击打开了大门:
-
发送给用户的nonce的活动时间比我预期的长(≈2小时)。
-
在此期间,每次都发送相同的nonce代码。
-
在输入正确的代码后,我没有看到任何类型的代码无效,但之前多次无效尝试(不像SMS重置功能)。
选择“通过Facebook通知发送代码”选项将发送POST请求到:
POST /ajax/recover/initiate/ HTTP/1.1
参数;recover_method = send_push_to_session_login
然后,研究人员试图发送一个6位数的代码“000000”来分析发送到易受攻击端点的POST请求:
POST /recover/code/rm=send_push_to_session_login&spc=0&fl=default_recover&wsr=0 HTTP/1.1
其中“n”参数保存nonce。
在这个阶段,强制执行这个6位数的值对于专家来说已经成为一项微不足道的任务。
在此端点上没有速率限制,因此匹配的代码被响应为302状态码。使用此代码登录/重置用户账户的FB账户密码。Aryal发表的分析报告写道。
研究人员注意到,一旦利用这个漏洞,Facebook就会通知目标用户。通知要么直接显示六位数的代码,要么提示用户点击通知以显示代码。
研究人员于2024年1月30日向Meta报告了该漏洞,该公司于2024年2月2日解决了该问题。这个漏洞产生了巨大的影响,Meta将其识别为零点击账户接管漏洞。阿亚尔目前在Facebook 2024年名人堂中排名第一。
原文始发于微信公众号(HackSee):研究人员发现Facebook账户被零点击接管
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论