2018年01月18日,如果这家社交巨头没有及时修补漏洞,Facebook与Oculus头显的集成可能已经为黑客劫持账号打开了方便大门。
Oculus成立于2012年,他们最为人熟知的是Oculus Rift虚拟现实头显。在2014年3月,Facebook宣布他们将会收购Oculus VR,而交易在2014年7月正式完成。在2014年8月,Facebook将Oculus Rift纳入了其白帽漏洞赏金计划,并向报告漏洞的研究人员提供奖励。从那以后,研究人员在Oculus服务中发现了多个漏洞,并因此获取了2.5万美元的奖励。
在2017年10月,网络安全顾问Josip Franjkovic决定研究Windows的Oculus应用(其允许本地Windows Oculus应用程序和浏览器接入Facebook帐户以访问更多的社交体验)。
在他的研究中,Franjkovic展示了黑客是如何利用特制的GraphQL查询将用户的Facebook账户连接至黑客的Oculus账户,并且获取用户的access_token(允许访问Facebook的GraphQL端点),从而劫持用户的Facebook账户。借助特制的GraphQL查询,黑客可以控制用户的Facebook帐户并更改帐户电话号码,然后重置帐户的密码。
Franjkovic在10月24日向Facebook报告了这一漏洞,而Facebook在同一天进行了一次临时修复,其中涉及禁用facebook_login_ssoendpoint。此外,Facebook于10月30日推出了一个永久补丁。
但几个星期后,Franjkovic发现了一个登录CSRF(跨站点请求伪造)漏洞。借助这个漏洞,黑客可以将用户重定向至黑客选择的一个Oculus URL,从而绕开Facebook的补丁。
Franjkovic在11月18日向Facebook报告了第二个漏洞,然后Facebook在同一天通过再次禁用facebook_login_sso端点进行了临时修复。三周后,该公司推出了一个完整的补丁。
Franjkovic写道:“解决方案是在/account_receivable/endpoint上实施CSRF检查,并且添加一个额外的点击来确认Facebook和Oculus帐户之间的关联。我相信这样可以在不降低用户体验的情况下妥善修复漏洞。”
尽管Franjkovic没有透露Facebook为他提供了多少奖励,但这家社交网络巨头于上周透露(通过SecurityWeek),他们在2017年向安全研究人员支付了88万美元的漏洞报告奖金。
文章内容仅供阅读,不构成投资建议,请谨慎对待。投资者据此操作,风险自担。
近日,绝味鸭脖以 "19 岁,绝美青春 " 为周年庆主题,推出了全新 " 爆耐撕绝绝脂大刀肉片 ",并策划一系列精彩活动,旨在为消费者带来前所未有的味蕾惊喜和快乐体验。
近日,中国家电及消费电子博览会(AWE 2024)隆重开幕。全球领先的智能终端企业TCL实业携多款创新技术和新品亮相,以敢为精神勇闯技术无人区,斩获四项AWE 2024艾普兰大奖。
“以前都要去窗口办,一套流程下来都要半个月了,现在方便多了!”打开“重庆公积金”微信小程序,按照提示流程提交相关材料,仅几秒钟,重庆市民曾某的账户就打进了21600元。
由世界人工智能大会组委会、上海市经信委、徐汇区政府、临港新片区管委会共同指导,由上海市人工智能行业协会联合上海人工智能实验室、上海临港经济发展(集团)有限公司、开放原子开源基金会主办的“2024全球开发者先锋大会”,将于2024年3月23日至24日举办。