Trata-se de uma vulnerabilidade de CSRF que permitia a um hacker tomar posse de uma conta bastando que para tal a vítima clicasse num determinado link. O bug já foi reparado
O investigador, sob o pseudónimo “Samm0uda”, reportou no passado dia 26 de janeiro ao Facebook a descoberta de uma vulnerabilidade que permitia a um atacante sequestrar a contade um utilizador apenas fazendo com que ele clicasse num link.
Trata-se de uma vulnerabilidade conhecida como Cross Site Request Forgery (CSRF). Este tipo de vulnerabilidade força o browser da vítima a realizar ações não desejadas numa aplicação web na qual não está autenticada. Neste caso, o investigador descobriu a falha depois de identificar um endpoint defeituoso que poderia ser explorado para evitar a proteção contra ataques de CSRF e controlar a conta da vítima.
Segundo explicou o investigador através do seu blog, “para que este ataque seja efetivo o atacante precisa enganar a vítima e levá-la a fazer clique no link”. Por exemplo, entre as possíveis ações que esta falha permitia ao atacante estão: a possibilidade de fazer uma publicação na cronologia da vítima, eliminar a foto de perfil ou levar o utilizador à eliminação da sua conta; apesar de para esta última ou para tomar controlo total da conta sejam necessários esforços adicionais.
Embora, em princípio , isso exigisse que a vítima clicasse em dois links diferentes, para que num conseguisse adicionar o endereço de e-mail ou o número de telefone e noutro o confirmasse, o investigador demonstrou que era possível controlar a conta apenas com um URL ao identificar os endpoints nos quais o parâmetro “seguinte” está presente e autorizando uma app maliciosa em nome da vítima, para que desta forma conseguisse obter os tokens de acesso do Facebook da vítima.
Com acesso aos tokens de autenticação da vítima, o exploit adiciona automaticamente um endereço de e-mail controlado pelo hacker da sua conta, permitindo a este último assumir o controlo total apenas redefinindo a password e bloqueando o utilizador legítimo, explicou o TheHackerNews.
Conforme explicou o investigador no seu blog, o ataque é realizado num abrir e fechar de olhos e é perigoso porque não aponta para um utilizador em particular, mas a qualquer um que clique no primeiro link.
Por último, algo não menos importante, o sequestro de uma conta mediante um ataque similar a este poderia ser evitado se o utilizador tiver ativo o duplo fator de autenticação, a menos que o atacante tenha acesso ao código que é enviado para o telefone do utilizador como parte do processo de autenticação.
“Samm0uda” reportou o bug no passado dia 26 de janeiro e no dia 31 o Facebook efetuou a correção. Dias depois, e como parte do seu programa de recompensas, a empresa deu 25 mil dólares ao investigador por reportar a falha.