Hacker descobre outra falha no Facebook
Relembre do último OAuth Flaw (falha no aceite de aplicativos) no Facebook o qual permite que um indivíduo roube qualquer conta sem a interação direta da vítima com aplicativos do Facebook, reportada por um White Hat (chapéu branco - hacker que identifica falhas de segurança) 'Nir Goldshlager'. Logo depois o time de segurança do Facebook consertou esse problema com pequenas alterações no sistema.
Ontem Goldshlager novamente detonou o mecanismo OAuth do Facebook rompendo todas as "pequenas alterações" feitas pelo time de segurança do Facebook. Ele explica essa saga completa no post "Caçando erros no Facebook".
Como descrito no último artigo no "The hacker News", o endereçamento URL do OAuth contém dois parâmetros i.e. redirect_uri & next, and using Regex Protection (%23xxx!,%23/xxx,/) O time do Facebook tentou defender este ponto na última correção.
Em uma recém descoberta técnica "hacker" descobriu que outro parâmetro permitiu o domínio facebook.facebook.com como opção válida e múltiplos sinais "hash" são o suficiente para romper/ultrapassar a proteção Regex.
Ele utiliza o arquivo facebook.com/l.php file (utilizado pelo Facebook de forma a redirecionar usuários para links externos) para redirecionar as vítimas para suas aplicações maliciosas de Facebook e então em seu próprio servidor armazenando referências (token), onde essas referências são o acesso alternativo para qualquer conta sem senha de acesso.
No entanto uma mensagem de atenção durante o redirecionamento pode arruinar o show. Sem problemas, ele encontrou 5 bites de redirecionamento de URL disponíveis justamente para evitar a mensagem de alerta.
Exemplo: https://www.facebook.com/l/goldy;touch.facebook.com/apps/sdfsdsdsgs (onde 'goldy' são os 5 bites de informação utilizada).
Agora num último passo, ele redireciona a vítima para sites externos localizados no files.nirgoldshlager.com (servidor do agressor virtual) via app malicioso de Facebook criado por ele e o access_token da vítima será logado por lá. Então temos o POC final que pode hackear qualquer conta no Facebook explorando outro bug / defeito do OAuth.
Para todos os navegadores:
https://www.facebook.com/connect/uiserver.php?app_id=220764691281998&next=https://facebook.facebook.com/%23/x/%23/l/ggggg%3btouch.facebook.com/apps/sdfsdsdsgs%23&display=page&fbconnect=1&method=permissions.request&response_type=token
Para o Firefox:
https://www.facebook.com/dialog/permissions.request?app_id=220764691281998&display=page&next=https%3A%2F%2Ftouch.facebook.com%2F%2523%2521%2Fapps%2Ftestestestte%2F&response_type=token&perms=email&fbconnect=1
Esse bug também foi reportado para o time de segurança do Facebook na semana passada pelo próprio Goldshlager e está corrigido agora, se você é um hacker esperamos que VOCÊ hackeie novamente!