2018年01月18日�,如果這家社交巨頭沒有及時修補漏洞,Facebook與Oculus頭顯的集成可能已經為黑客劫持賬號打開了方便大門�����。
Oculus成立于2012年���,他們最為人熟知的是Oculus Rift虛擬現實頭顯。在2014年3月���,Facebook宣布他們將會收購Oculus VR���,而交易在2014年7月正式完成�。在2014年8月�����,Facebook將Oculus Rift納入了其白帽漏洞賞金計劃�,并向報告漏洞的研究人員提供獎勵。從那以后����,研究人員在Oculus服務中發(fā)現了多個漏洞,并因此獲取了2.5萬美元的獎勵��。
在2017年10月��,網絡安全顧問Josip Franjkovic決定研究Windows的Oculus應用(其允許本地Windows Oculus應用程序和瀏覽器接入Facebook帳戶以訪問更多的社交體驗)�����。
在他的研究中���,Franjkovic展示了黑客是如何利用特制的GraphQL查詢將用戶的Facebook賬戶連接至黑客的Oculus賬戶�,并且獲取用戶的access_token(允許訪問Facebook的GraphQL端點)�����,從而劫持用戶的Facebook賬戶。借助特制的GraphQL查詢��,黑客可以控制用戶的Facebook帳戶并更改帳戶電話號碼�,然后重置帳戶的密碼。
Franjkovic在10月24日向Facebook報告了這一漏洞�,而Facebook在同一天進行了一次臨時修復,其中涉及禁用facebook_login_ssoendpoint��。此外���,Facebook于10月30日推出了一個永久補丁�����。
但幾個星期后�����,Franjkovic發(fā)現了一個登錄CSRF(跨站點請求偽造)漏洞。借助這個漏洞��,黑客可以將用戶重定向至黑客選擇的一個Oculus URL���,從而繞開Facebook的補丁���。
Franjkovic在11月18日向Facebook報告了第二個漏洞���,然后Facebook在同一天通過再次禁用facebook_login_sso端點進行了臨時修復。三周后���,該公司推出了一個完整的補丁��。
Franjkovic寫道:“解決方案是在/account_receivable/endpoint上實施CSRF檢查�,并且添加一個額外的點擊來確認Facebook和Oculus帳戶之間的關聯(lián)�。我相信這樣可以在不降低用戶體驗的情況下妥善修復漏洞。”
盡管Franjkovic沒有透露Facebook為他提供了多少獎勵���,但這家社交網絡巨頭于上周透露(通過SecurityWeek)��,他們在2017年向安全研究人員支付了88萬美元的漏洞報告獎金���。
京公網安備 11010502041587號