Hàng triệu tài khoản Facebook gặp nguy

[Romano]

Các chuyên gia bảo mật của MetaIntell đã phát hiện ra một lỗ hổng nghiêm trọng trong biên bản mới nhất của Facebook SDK. Lỗ hổng này khiến hàng triệu thẻ xác thực (Authentication Token) của người dùng Facebook gặp nguy hiểm.

Facebook SDK dùng trên hệ điều hành Android và iOS là cách dễ nhất để tích hợp các ứng dụng di động với nền tảng Facebook hỗ trợ người dùng truy cập vào Facebook để tương tác với các Facebook API và còn rất nhiều tính năng khác.

Cơ chế xác thực Facebook OAuth hoặc "Login as Facebook" là một cách riêng tư và an toàn cho người dùng đăng nhập vào các ứng dụng của bên thứ ba mà không phải chia sẻ mật khẩu của họ.


Facebook SDK dễ bị tổn thương: Hàng triệu tài khoản người dùng gặp nguy hiểm

Sau khi người dùng chấp nhận các điều khoản, Facebook SDK sẽ chạy luồng OAuth 2.0 User-Agent để lấy thẻ truy cập dữ liệu của người dùng theo yêu cầu của ứng dụng. Sau đó chương trình sẽ gọi API Facebook để đọc, sửa hoặc ghi dữ liệu Facebook thay cho họ.

Thẻ truy cập không được mã hóa

Điều quan trọng nhất là mật khẩu của bạn không phép được chia sẻ với người khác. Tuy vậy các nhà nghiên cứu phát hiện ra rằng Facebook SDK Library đã lưu trữ mật khẩu dưới định dạng không được mã hóa trên tập tin hệ thống của thiết bị. Mật khẩu này có thể truy cập dễ dàng trên một thiết bị Android chưa root hoặc thiết bị iOS chưa jailbreak.

"Sau 5 giây kết nối, mã truy cập trên iOS có thể bị đánh cắp. Trên Android, mật khẩu có thể được truy cập qua chế độ phục hồi nhưng cần nhiều thao tác và thời gian hơn", Chilick Tamir, kiến trúc sư trưởng của MetaIntell cho biết.

Mối đe dọa từ ứng dụng

Theo Chilik Tamir, chuyên gia bảo mật của MetaIntell thì các ứng dụng của bên thứ ba có quyền truy cập tập tin hệ thống của thiết bị cũng có thể đọc dữ liệu và đánh cắp thẻ xác thực Facebook của người dùng từ xa.

Các nhà nghiên cứu gọi lỗ hổng này là "Social Login Session Hijacking". Sau khi khai thác lỗ hổng này, tin tặc sẽ truy cập vào thông tin tài khoản Facebook của nạn nhân bằng cách sử dụng thẻ xác thực và chiếm quyền điều khiển sử dụng tài khoản.

Đánh cắp thẻ truy cập Facebook bằng Viber

Các nhà nghiên cứu đã đăng tải một video lên YouTube, trong video này họ trình diễn khả năng khai thác lỗ hổng và đánh cắp tài khoản Facebook qua ứng dụng Viber cho iOS.

"Tất cả những ứng dụng iOS và Android sử dụng Facebook SDK để đăng nhập và lưu trữ mã truy cập không được mã hóa rất dễ bị tấn công theo cách này", Chilik Tamir cho biết.

"MetaIntell đã xác định được 71/100 ứng dụng miễn phí hàng đầu của iOS sử dụng Facebook SDK rất dễ bị tấn công. Chúng cũng làm ảnh hưởng tới 1,2 tỷ lượt tải về của các ứng dụng. Trong số 100 ứng dụng Android thì có 31 ứng dụng sử dụng Facebook SDK và vì vậy gây nguy hại đến hơn 100 tỷ lượt download những ứng dụng này", các nhà nghiên cứu chỉ rõ trên một blog.

Hoàng Kỷ

Theo Tech Notification