漏洞賞金計(jì)劃：黑客通過Oculus應(yīng)用劫持Facebook賬號(hào)

　　2018年01月18日，如果這家社交巨頭沒有及時(shí)修補(bǔ)漏洞，F(xiàn)acebook與Oculus頭顯的集成可能已經(jīng)為黑客劫持賬號(hào)打開了方便大門。

　　Oculus成立于2012年，他們最為人熟知的是Oculus Rift虛擬現(xiàn)實(shí)頭顯。在2014年3月，F(xiàn)acebook宣布他們將會(huì)收購Oculus VR，而交易在2014年7月正式完成。在2014年8月，F(xiàn)acebook將Oculus Rift納入了其白帽漏洞賞金計(jì)劃，并向報(bào)告漏洞的研究人員提供獎(jiǎng)勵(lì)。從那以后，研究人員在Oculus服務(wù)中發(fā)現(xiàn)了多個(gè)漏洞，并因此獲取了2.5萬美元的獎(jiǎng)勵(lì)。

　　在2017年10月，網(wǎng)絡(luò)安全顧問Josip Franjkovic決定研究Windows的Oculus應(yīng)用(其允許本地Windows Oculus應(yīng)用程序和瀏覽器接入Facebook帳戶以訪問更多的社交體驗(yàn))。

　　在他的研究中，F(xiàn)ranjkovic展示了黑客是如何利用特制的GraphQL查詢將用戶的Facebook賬戶連接至黑客的Oculus賬戶，并且獲取用戶的access_token(允許訪問Facebook的GraphQL端點(diǎn))，從而劫持用戶的Facebook賬戶。借助特制的GraphQL查詢，黑客可以控制用戶的Facebook帳戶并更改帳戶電話號(hào)碼，然后重置帳戶的密碼。

　　Franjkovic在10月24日向Facebook報(bào)告了這一漏洞，而Facebook在同一天進(jìn)行了一次臨時(shí)修復(fù)，其中涉及禁用facebook_login_ssoendpoint。此外，F(xiàn)acebook于10月30日推出了一個(gè)永久補(bǔ)丁。

　　但幾個(gè)星期后，F(xiàn)ranjkovic發(fā)現(xiàn)了一個(gè)登錄CSRF(跨站點(diǎn)請(qǐng)求偽造)漏洞。借助這個(gè)漏洞，黑客可以將用戶重定向至黑客選擇的一個(gè)Oculus URL，從而繞開Facebook的補(bǔ)丁。

　　Franjkovic在11月18日向Facebook報(bào)告了第二個(gè)漏洞，然后Facebook在同一天通過再次禁用facebook_login_sso端點(diǎn)進(jìn)行了臨時(shí)修復(fù)。三周后，該公司推出了一個(gè)完整的補(bǔ)丁。

　　Franjkovic寫道：“解決方案是在/account_receivable/endpoint上實(shí)施CSRF檢查，并且添加一個(gè)額外的點(diǎn)擊來確認(rèn)Facebook和Oculus帳戶之間的關(guān)聯(lián)。我相信這樣可以在不降低用戶體驗(yàn)的情況下妥善修復(fù)漏洞。”

　　盡管Franjkovic沒有透露Facebook為他提供了多少獎(jiǎng)勵(lì)，但這家社交網(wǎng)絡(luò)巨頭于上周透露(通過SecurityWeek)，他們?cè)?017年向安全研究人員支付了88萬美元的漏洞報(bào)告獎(jiǎng)金。