События

Уязвимость в интеграции Oculus-Facebook позволяла получить контроль над чужими учетными записями

Очки виртуальной реальности Oculus позволяют пользователям подключаться к своим учетным записям Facebook для более богатого «социального» опыта. Подключение осуществляется как с помощью родного приложения для Windows, так и через браузер. Исследователь безопасности Йосип Франькович (Josip Franjković) проанализировал приложение и обнаружил уязвимость, позволяющую осуществить межсайтовую подделку запросов (CSRF). По словам исследователя, проэксплуатировав уязвимость, злоумышленник мог подключить чужую учетную запись Facebook к своей учетной записи Oculus, получить токен для доступа и с помощью запросов GraphQL захватить контроль над учетной записью жертвы.

Для осуществления атаки злоумышленник должен создать определенные мутации GraphQL и отправить их на graph.oculus.com/graphql с токеном для доступа к своей учетной записи Oculus. В ответ придет ссылка, делающая возможной интеграцию двух сервисов всего в один клик. Если жертва нажмет на ссылку, ее учетная запись Facebook подключится к учетной записи Oculus атакующего.

Франькович намеревался сообщить Facebook о своем открытии, однако решил сначала подробнее изучить Windows-приложение Oculus. Как пояснил исследователь, app.asar приложения содержит ссылки на запрос GraphQL, возвращающий информацию о подключенной учетной записи Facebook. Франькович обнаружил, что с помощью запроса можно получить токен для доступа к учетной записи Facebook жертвы, а значит, захватить над ней полный контроль.

Исследователь уведомил Facebook о своей находке в октябре 2017 года, и проблема была исправлена. Тем не менее, спустя несколько недель Франькович обнаружил CSRF-уязвимость, позволявшую злоумышленнику перенаправлять жертв на URL-адрес Oculus на свой выбор. Проблема была исправлена в декабре 2017 года.

Источник

Автор: Сергей Куприянов
16.01.2018 (20:17)
Пройди тест и узнай об этом!
Информер новостей
Расширение для Google Chrome
Пишите нам

Редакция: info@alterprogs.ru

Реклама: adv@alterprogs.ru

Все права защищены © 2010-2019

"Alterprogs.ru" - технологии будущего

Контакты  | Карта сайта

Использование любых материалов, размещенных на сайте, разрешается при условии ссылки на alterprogs.ru. Для интернет-изданий - обязательна прямая открытая для поисковых систем гиперссылка. Ссылка должна быть размещена в независимости от полного либо частичного использования материалов. Материалы в рубрике "Новости партнеров" публикуются на правах рекламы.