2018年01月18日,如果這家社交巨頭沒有及時(shí)修補(bǔ)漏洞,F(xiàn)acebook與Oculus頭顯的集成可能已經(jīng)為黑客劫持賬號(hào)打開了方便大門。
Oculus成立于2012年,他們最為人熟知的是Oculus Rift虛擬現(xiàn)實(shí)頭顯。在2014年3月,F(xiàn)acebook宣布他們將會(huì)收購Oculus VR,而交易在2014年7月正式完成。在2014年8月,F(xiàn)acebook將Oculus Rift納入了其白帽漏洞賞金計(jì)劃,并向報(bào)告漏洞的研究人員提供獎(jiǎng)勵(lì)。從那以后,研究人員在Oculus服務(wù)中發(fā)現(xiàn)了多個(gè)漏洞,并因此獲取了2.5萬美元的獎(jiǎng)勵(lì)。
在2017年10月,網(wǎng)絡(luò)安全顧問Josip Franjkovic決定研究Windows的Oculus應(yīng)用(其允許本地Windows Oculus應(yīng)用程序和瀏覽器接入Facebook帳戶以訪問更多的社交體驗(yàn))。
在他的研究中,F(xiàn)ranjkovic展示了黑客是如何利用特制的GraphQL查詢將用戶的Facebook賬戶連接至黑客的Oculus賬戶,并且獲取用戶的access_token(允許訪問Facebook的GraphQL端點(diǎn)),從而劫持用戶的Facebook賬戶。借助特制的GraphQL查詢,黑客可以控制用戶的Facebook帳戶并更改帳戶電話號(hào)碼,然后重置帳戶的密碼。
Franjkovic在10月24日向Facebook報(bào)告了這一漏洞,而Facebook在同一天進(jìn)行了一次臨時(shí)修復(fù),其中涉及禁用facebook_login_ssoendpoint。此外,F(xiàn)acebook于10月30日推出了一個(gè)永久補(bǔ)丁。
但幾個(gè)星期后,F(xiàn)ranjkovic發(fā)現(xiàn)了一個(gè)登錄CSRF(跨站點(diǎn)請(qǐng)求偽造)漏洞。借助這個(gè)漏洞,黑客可以將用戶重定向至黑客選擇的一個(gè)Oculus URL,從而繞開Facebook的補(bǔ)丁。
Franjkovic在11月18日向Facebook報(bào)告了第二個(gè)漏洞,然后Facebook在同一天通過再次禁用facebook_login_sso端點(diǎn)進(jìn)行了臨時(shí)修復(fù)。三周后,該公司推出了一個(gè)完整的補(bǔ)丁。
Franjkovic寫道:“解決方案是在/account_receivable/endpoint上實(shí)施CSRF檢查,并且添加一個(gè)額外的點(diǎn)擊來確認(rèn)Facebook和Oculus帳戶之間的關(guān)聯(lián)。我相信這樣可以在不降低用戶體驗(yàn)的情況下妥善修復(fù)漏洞。”
盡管Franjkovic沒有透露Facebook為他提供了多少獎(jiǎng)勵(lì),但這家社交網(wǎng)絡(luò)巨頭于上周透露(通過SecurityWeek),他們?cè)?017年向安全研究人員支付了88萬美元的漏洞報(bào)告獎(jiǎng)金。
文章內(nèi)容僅供閱讀,不構(gòu)成投資建議,請(qǐng)謹(jǐn)慎對(duì)待。投資者據(jù)此操作,風(fēng)險(xiǎn)自擔(dān)。
近日,德國柏林國際電子消費(fèi)品展覽會(huì)(IFA2024)隆重舉辦。憑借在核心技術(shù)、產(chǎn)品設(shè)計(jì)及應(yīng)用方面的創(chuàng)新變革,全球領(lǐng)先的智能終端企業(yè)TCL實(shí)業(yè)成功斬獲兩項(xiàng)“IFA全球產(chǎn)品設(shè)計(jì)創(chuàng)新大獎(jiǎng)”金獎(jiǎng),有力證明了其在全球市場(chǎng)的強(qiáng)大影響力。
近日,中國家電及消費(fèi)電子博覽會(huì)(AWE 2024)隆重開幕。全球領(lǐng)先的智能終端企業(yè)TCL實(shí)業(yè)攜多款創(chuàng)新技術(shù)和新品亮相,以敢為精神勇闖技術(shù)無人區(qū),斬獲四項(xiàng)AWE 2024艾普蘭大獎(jiǎng)。
“以前都要去窗口辦,一套流程下來都要半個(gè)月了,現(xiàn)在方便多了!”打開“重慶公積金”微信小程序,按照提示流程提交相關(guān)材料,僅幾秒鐘,重慶市民曾某的賬戶就打進(jìn)了21600元。
由世界人工智能大會(huì)組委會(huì)、上海市經(jīng)信委、徐匯區(qū)政府、臨港新片區(qū)管委會(huì)共同指導(dǎo),由上海市人工智能行業(yè)協(xié)會(huì)聯(lián)合上海人工智能實(shí)驗(yàn)室、上海臨港經(jīng)濟(jì)發(fā)展(集團(tuán))有限公司、開放原子開源基金會(huì)主辦的“2024全球開發(fā)者先鋒大會(huì)”,將于2024年3月23日至24日舉辦。