Các chuyên gia bảo mật của MetaIntell đã phát hiện ra một lỗ hổng nghiêm trọng trong biên bản mới nhất của Facebook SDK. Lỗ hổng này khiến hàng triệu thẻ xác thực (Authentication Token) của người dùng Facebook gặp nguy hiểm.
Facebook SDK dùng trên hệ điều hành Android và iOS là cách dễ nhất để tích hợp các ứng dụng di động với nền tảng Facebook hỗ trợ người dùng truy cập vào Facebook để tương tác với các Facebook API và c̣n rất nhiều tính năng khác.
Cơ chế xác thực Facebook OAuth hoặc "Login as Facebook" là một cách riêng tư và an toàn cho người dùng đăng nhập vào các ứng dụng của bên thứ ba mà không phải chia sẻ mật khẩu của họ.
Facebook SDK dễ bị tổn thương: Hàng triệu tài khoản người dùng gặp nguy hiểm
Sau khi người dùng chấp nhận các điều khoản, Facebook SDK sẽ chạy luồng OAuth 2.0 User-Agent để lấy thẻ truy cập dữ liệu của người dùng theo yêu cầu của ứng dụng. Sau đó chương tŕnh sẽ gọi API Facebook để đọc, sửa hoặc ghi dữ liệu Facebook thay cho họ.
Thẻ truy cập không được mã hóa
Điều quan trọng nhất là mật khẩu của bạn không phép được chia sẻ với người khác. Tuy vậy các nhà nghiên cứu phát hiện ra rằng Facebook SDK Library đă lưu trữ mật khẩu dưới định dạng không được mã hóa trên tập tin hệ thống của thiết bị. Mật khẩu này có thể truy cập dễ dàng trên một thiết bị Android chưa root hoặc thiết bị iOS chưa jailbreak.
"Sau 5 giây kết nối, mã truy cập trên iOS có thể bị đánh cắp. Trên Android, mật khẩu có thể được truy cập qua chế độ phục hồi nhưng cần nhiều thao tác và thời gian hơn", Chilick Tamir, kiến trúc sư trưởng của MetaIntell cho biết.
Mối đe dọa từ ứng dụng
Theo Chilik Tamir, chuyên gia bảo mật của MetaIntell th́ các ứng dụng của bên thứ ba có quyền truy cập tập tin hệ thống của thiết bị cũng có thể đọc dữ liệu và đánh cắp thẻ xác thực Facebook của người dùng từ xa.
Các nhà nghiên cứu gọi lỗ hổng này là "Social Login Session Hijacking". Sau khi khai thác lỗ hổng này, tin tặc sẽ truy cập vào thông tin tài khoản Facebook của nạn nhân bằng cách sử dụng thẻ xác thực và chiếm quyền điều khiển sử dụng tài khoản.
Đánh cắp thẻ truy cập Facebook bằng Viber
Các nhà nghiên cứu đã đăng tải một video lên YouTube, trong video này họ trình diễn khả năng khai thác lỗ hổng và đánh cắp tài khoản Facebook qua ứng dụng Viber cho iOS.
"Tất cả những ứng dụng iOS và Android sử dụng Facebook SDK để đăng nhập và lưu trữ mã truy cập không được mã hóa rất dễ bị tấn công theo cách này", Chilik Tamir cho biết.
"MetaIntell đã xác định được 71/100 ứng dụng miễn phí hàng đầu của iOS sử dụng Facebook SDK rất dễ bị tấn công. Chúng cũng làm ảnh hưởng tới 1,2 tỷ lượt tải về của các ứng dụng. Trong số 100 ứng dụng Android th́ có 31 ứng dụng sử dụng Facebook SDK và v́ vậy gây nguy hại đến hơn 100 tỷ lượt download những ứng dụng này", các nhà nghiên cứu chỉ rơ trên một blog.
Hoàng Kỷ
Theo Tech Notification