当前位置:安全资讯 >> 全文

Oculus App 中存在缺陷可导致 Facebook 账户被黑

发布时间:2018-1-17 19:53 标签: Facebook,Oculus app,VR
分享到 0

Facebook 最近修复了几个可导致黑客通过滥用 Oculus 虚拟现实一体机劫持 Facebook 账户的漏洞。

Facebook 20147月宣布收购 Oculus VR并于几周后将 Oculus 资产增加至漏洞奖励计划中。自此Oculus 服务中被曝存在多个漏洞,一名研究员曾发现一系列漏洞并获得2.5 万美元的奖励。

10月份,网安全顾问 Josip Franjkovic 分析了 Windows版本的 Oculus应用,其中包括能让用户连接 Facebook 账户的社交功能。

Franjkovic 发现恶意人员能够使用特别构造的 GraphQL 查询把目标用户的 Facebook 账户连接到攻击者的 Oculus 账户。GraphQL 是由 Facebook 2012年创建并公布的一种查询语言。

研究人员指出,特别构造的查询能导致攻击者获取在正常情况下无法从第三方 app 上访问的受害者的访问口令,并用于控制受害者的 Facebook 账户。Franjkovic 使用一个特殊编造的查询将一个新手机号码添加到目标账户中,并利用这个号码重置了受害者密码,演示了账户控制方法。

1024日,研究人员将漏洞问题告知 Facebook,后者在同一天通过禁用 facebook_login_sso 端点的方法发布了临时修复方案并于1030日推出永久补丁。几周后,Frankjkovic发现了一个登陆跨站请求伪造缺陷可绕过Facebook 发布的补丁。1118日,他将问题告知Facebook,后者通过跟之前同样的方法发布了临时修复方案,并在三周左右的时间后执行了完整的补丁。

Franjkovic 并未披露从Facebook 获得的奖励金额,不过表示Facebook将问题归类于“严重”级别而且他对自己获得的奖金数额感到很开心。

上周,Facebook 披露称在2017年总共支付了88万美元的奖励金,平均每次漏洞提交获得的奖励是1900美元。

Franjkovic 在博客中披露了相关漏洞详情。多年来他向 Facebook 报告了多个漏洞,其中包括一些可用于劫持账户的漏洞。

本文由360代码卫士编译,不代表360观点,转载请注明“转自360代码卫士www.codesafe.cn”。
原文链接:http://www.securityweek.com/flaws-allowed-facebook-account-hacking-oculus-app
参与讨论,请先 登录 | 注册

用户评论