• 首页 > 产经频道 > 业界新闻

    漏洞赏金计划:黑客通过Oculus应用劫持Facebook账号

    2018年01月18日 09:37:49   来源:yivian

      2018年01月18日,如果这家社交巨头没有及时修补漏洞,Facebook与Oculus头显的集成可能已经为黑客劫持账号打开了方便大门。

      Oculus成立于2012年,他们最为人熟知的是Oculus Rift虚拟现实头显。在2014年3月,Facebook宣布他们将会收购Oculus VR,而交易在2014年7月正式完成。在2014年8月,Facebook将Oculus Rift纳入了其白帽漏洞赏金计划,并向报告漏洞的研究人员提供奖励。从那以后,研究人员在Oculus服务中发现了多个漏洞,并因此获取了2.5万美元的奖励。

      在2017年10月,网络安全顾问Josip Franjkovic决定研究Windows的Oculus应用(其允许本地Windows Oculus应用程序和浏览器接入Facebook帐户以访问更多的社交体验)。

      在他的研究中,Franjkovic展示了黑客是如何利用特制的GraphQL查询将用户的Facebook账户连接至黑客的Oculus账户,并且获取用户的access_token(允许访问Facebook的GraphQL端点),从而劫持用户的Facebook账户。借助特制的GraphQL查询,黑客可以控制用户的Facebook帐户并更改帐户电话号码,然后重置帐户的密码。

      Franjkovic在10月24日向Facebook报告了这一漏洞,而Facebook在同一天进行了一次临时修复,其中涉及禁用facebook_login_ssoendpoint。此外,Facebook于10月30日推出了一个永久补丁。

      但几个星期后,Franjkovic发现了一个登录CSRF(跨站点请求伪造)漏洞。借助这个漏洞,黑客可以将用户重定向至黑客选择的一个Oculus URL,从而绕开Facebook的补丁。

      Franjkovic在11月18日向Facebook报告了第二个漏洞,然后Facebook在同一天通过再次禁用facebook_login_sso端点进行了临时修复。三周后,该公司推出了一个完整的补丁。

      Franjkovic写道:“解决方案是在/account_receivable/endpoint上实施CSRF检查,并且添加一个额外的点击来确认Facebook和Oculus帐户之间的关联。我相信这样可以在不降低用户体验的情况下妥善修复漏洞。”

      尽管Franjkovic没有透露Facebook为他提供了多少奖励,但这家社交网络巨头于上周透露(通过SecurityWeek),他们在2017年向安全研究人员支付了88万美元的漏洞报告奖金。

      来源:XXX(非中文科技资讯)的作品均转载自其它媒体,转载请尊重版权保留出处,一切法律责任自负。

      文章内容仅供阅读,不构成投资建议,请谨慎对待。投资者据此操作,风险自担。

      中文科技资讯倡导尊重与保护知识产权。如发现本站文章存在版权问题,烦请30天内提供版权疑问、身份证明、版权证明、联系方式等发邮件至news@citnews.com.cn,我们将及时沟通与处理。

    [责任编辑: CIT03]
    分享到微信

    推荐

    新闻

    扎克伯格今天34岁:靠FaceBook走向人生巅峰

    作为全球最有钱的80后(另一个人除外),Facebook公司CEO马克·扎克伯格今天迎来了自己的34岁生日。

    互联网+

    特斯拉上海公司成立会给中国电动车市场造成什么影响

     最近有媒体查询国家企业信用信息公示系统获知,特斯拉在5月10日获得了上海浦东新区市场监管局核发的营业执照,注册资本1亿元,股东为特斯拉汽车香港有限公司。

    融合

    人工智能之父:AI终将比人类更聪明 但没必要担忧

    据外媒报道,被誉为“人工智能之父”的尤尔根·施米德胡贝(Jurgen Schmidhuber)周三表示,人工智能(AI)终有一天会比人类更聪明,但人类没有理由担心这项技术。

    创投

    英特尔未来两年将投资50亿美元在以色列建厂

    据外媒报道,英特尔周二宣布,它已向以色列政府提交了扩大在该国生产业务的计划书,打算在未来两年内投资约50亿美元在以色列建厂。