کشف آسیب‌پذیری فیس‌بوک و جایزه‌ی ۵ هزار دلاری

به گزارش واحد امنیت سایبربان؛ فیس‌بوک به توسعه‌دهندگان این امکان را می‌دهد که از سامانه ورود فیس‌بوک به‌عنوان ورود به سامانه برای سایر برنامه‌ها و وب‌گاه‌ها استفاده کنند. زمانی که یک کاربر با استفاده از سامانه‌ی ورود فیس‌بوک در یک برنامه ثبت‌نام می‌کند، یک حساب کاربری برای او ایجادشده و احراز هویت توسط فیس‌بوک انجام می‌شود.

یک محقق آسیب‌پذیری در بیت‌دیفندر کشف کرد که ویژگی ورود با حساب فیس‌بوک می‌تواند برای جعل هویت کاربران بر روی وب‌‌گاهی که قبلاً آن‌ها در آن حساب کاربری ثبت کرده‌اند، مورد سوءاستفاده قرار گیرد.

برای اینکه این حمله کار کند، برای ثبت‌نام در وب‌‌گاهی که اجازه‌ی ورود از شبکه‌های اجتماعی مثل فیس‌بوک را فراهم می‌کند، مهاجم باید یک ایمیل مربوط به‌حساب کاربری که فرد موردنظر قبلاً از آن استفاده کرده است را شناسایی کند. هرچند شرطی که وجود دارد این است که آدرس ایمیل فرد مورد هدف نباید برای ثبت‌نام حساب کاربری در فیس‌بوک استفاده‌شده باشد.

این محقق نشان داده است که مهاجم می‌تواند با استفاده از ایمیل قربانی یک حساب کاربری فیس‌بوک بسازد و سپس این ایمیل را با آدرس ایمیل دیگری که تحت کنترل دارد، در پنل تنظیمات فیس‌بوک تعویض کند. مهاجم می‌تواند برای فرآیند تأیید آدرس ایمیل خود را وارد کند و پس از گذراندن این مرحله، دوباره آدرس ایمیل قربانی را به‌عنوان ایمیل اصلی وارد کند.

با استفاده از حساب کاربری فیس‌بوک ِ کاربر مورد هدف که آدرس ایمیل او به‌عنوان ایمیل اصلی تعیین‌شده است، مهاجم می‌تواند از ویژگی ورود از طریق شبکه اجتماعی استفاده کرده و به‌حساب کاربری که ایمیل قربانی استفاده‌شده است، وارد شود.

محقق بیت‌دیفندر اعلام کرده است که « این‌یک آسیب‌پذیری جدی است که به مهاجم اجازه می‌دهد تا به بسیاری از وب‌گاه‌ها که ویژگی ورود از طریق فیس‌بوک رادارند، وارد شود. این موضوع به این معنی است که یک مهاجم می‌تواند به‌طور مثال از طریق حساب کاربری قربانی  در وب‌گاه‌های تجارت الکترونیکی پرداخت انجام دهد.»

این موضوع در ۳۱ مارس به فیس‌بوک گزارش داده شد و این شرکت در گزارشی به محقق موردنظر اعلام کرد که در ۱۴ آوریل این آسیب‌پذیری وصله شد. درحالی‌که بیت‌دیفندر این آسیب‌پذیری را جزو آسیب‌پذیری‌های جدی طبقه‎بندی کرد، فیس‌بوک بر این عقیده بود که این ریسک بسیار کم بود که این آسیب‌پذیری در مقیاس بزرگ مورد سوءاستفاده قرار بگیرد. درهرصورت فیس‌بوک اعلام کرد که این حمله نیازمند ایجاد یک حساب کاربری جعلی است که در این صورت سامانه فیس‌بوک می‌تواند این موضوع را به‌سرعت کشف و حذف نماید. بیت‌دیفندر اعلام کرد که پیدا کردن آدرس ایمیل کاربران معمولاً سخت نیست ولی فیس‌بوک ادعا دارد که تشخیص اینکه کدام آدرس ایمیل برای ایجاد سرویس آنلاین استفاده‌شده است، کار آسانی نیست.

سخنگوی فیس‌بوک در گفتگو با SecurityWeek گفت: « این آسیب‌پذیری برای سوءاستفاده در سطح گسترده بسیار سخت است و هیچ حساب کاربری فیس‌بوک و یا شبکه‌ی شرکت از این طریق آلوده نمی‌شود. بااین‌حال ما متوجه این موضوع شدیم و با گروه رفع آسیب‌پذیری شرکت صحبت شد تا این مشکل هرچه سریع‌تر حل‌وفصل شود.»

هرچند، این مشکل با ریسک پایین نیز جزو آسیب‌پذیری‌ها در نظر گرفته شد و فیس‌بوک ۵ هزار دلار به این محقق برای گزارش این آسیب‌پذیری جایزه داد. همچنین صفحه‌ی راهنمای شرکت در بخش توضیحات ِ ورود به سیستم، توصیه‌هایی برای توسعه‌دهندگانی که می‌خواهند از ویژگی ورود با فیس‌بوک استفاده کنند ارائه داده است. این راهنما توصیه می‌کند که به‌گونه‌ای امن حساب‌های کاربری و برنامه‌ها را باهم تجمیع کنند تا حساب کاربری فیس‌بوک با استفاده از آدرس ایمیل دیگری مورداستفاده قرار نگیرد.