Facebook的SDK漏洞威胁数以百万计的手机用户账户


发布人:admin分类:网络安全浏览量:28发布时间:2017-12-12

来自MetaIntell智能手机领导风险管理(MRM)的安全研究人员,发现了一个最新版的FacebookSDK中的漏洞,该漏洞会暴露数以百万计的Facebook的用户的身份认证令牌,听起来还是很吓人的。

Facebook的对于AndroidIOSSDK提供了使用身份验证登录Facebook,读取和写入到Facebook API等许多简易方式。

FacebookOAuth认证或说“以Facebook账户”登录的机制,提供了一种无需用户输入用户名或者密码就能在第三方app上直接登录的个性化而安全的方式。FaceookSDK通过实现OAuth2.0的用户代理流程来获取应用所需要的访问令牌,从而实现利用FacebookAPI来实现读取,修改或写入用户的Facebook数据的功能。

访问未加密的访问令牌

    用户的私人的秘密访问令牌本应当永远不会与任何人共享。但令人惊奇的是,研究人员发现,FacebookSDK库直接把令牌以明文格式存储在设备上,任何人都能轻易地获取Android或者IOS的加密令牌,而完全不需要root或者越狱,我和我的小伙伴都惊呆了!

    “在一台IOS设备上,插上USB之后,仅仅需要5秒钟,就可以通过juice jacking 攻击获取到访问令牌。”MetaIntell的首席架构师Chilik Tamir告诉记者。

来自其他程序的威胁

    他还说,除此之外,我们手机上的任何被赋予读取文件系统权限的app都能够远程访问或者偷取用户的Facebook访问令牌。

    研究人员戏称为漏洞“社会登录会话劫持”。该漏洞一旦被利用,便可以让攻击者通过访问令牌和会话劫持的方法来访问受害者的Facebook帐户信息。

视频演示

    研究人员在youtube上发布了一段视频,该视频展示了研究人员是如何通过IOS版的Viber利用这个漏洞的。(很明显,Viber使用了FacebookOAuth认证登录方式)

演示视频:http://www.youtube.com/watch?v=1fylUF_YUqk //需要翻墙

    Chilik Tamir 说,所有使用FacebookOAuth认证方式登录的iOSAndroid应用程序都非常容易受到这种攻击。

    研究人员在blog中写道,“MetaIntell已确定的前100名免费iOS应用程序中,有71个是使用Facebook
SDK
的,而这些app的下载量已经达到了12亿,影响范围相当广。而在排名前100位的Android应用程序中,有31app利用FacebookSDK,下载次数则超过了1000亿。”

Facebook的安全团队的回应

    MetaIntell团队已经通知了Facebook的安全团队有关该漏洞的信息,但貌似Facebook没有修复SDK的打算。

    收到MetalIntell的漏洞报告之后,Facebook回应到:“我跟进了我们的平台开发团队,看看他们是否会在这方面作出任何变更:-Android方面,我们已经得出结论,我们不会做任何改变:我们认为安卓系统提供的安全等级是足够高的。-另一方面,我们的IOS团队正在探索以最安全方式将访问令牌存储到通过密钥方可访问的储存位置的可能性。“

我们应当怎么应对?

    移动应用程序的用户应尽量不要使用移动应用程序中的“通过Facebook登录”选项,同时禁止应用程序使用他们的Facebook登录。

    对于应用程序开发人员,我们建议将用户的访问令牌从本地存储转移到有安全加密传输的线上加密存储空间中。


被黑站点统计 - 文章版权1、本主题所有言论和图片纯属会员个人意见,与本文章立场无关
2、本站所有主题由该文章作者发表,该文章作者与被黑站点统计享有文章相关版权
3、其他单位或个人使用、转载或引用本文时必须同时征得该文章作者和被黑站点统计的同意
4、文章作者须承担一切因本文发表而直接或间接导致的民事或刑事法律责任
5、本帖部分内容转载自其它媒体,但并不代表本站赞同其观点和对其真实性负责
6、如本帖侵犯到任何版权问题,请立即告知本站,本站将及时予与删除并致以最深的歉意
7、被黑站点统计管理员有权不事先通知发贴者而删除本文

免责声明

本站主要通过网络搜集国内被黑网站信息,统计分析数据,为部署安全型网络提供强有力的依据.本站所有工作人员均不参与黑站,挂马或赢利性行为,所有数据均为网民提供,提交者不一定是黑站人,所有提交采取不记名,先提交先审核的方式,如有任何疑问请及时与我们联系.

admin  的文章


微信公众号

微信公众号


Copyright © 2012-2022被黑网站统计系统All Rights Reserved
页面总访问量:21474783(PV) 页面执行时间:104(MS)
  • xml
  • 网站地图