الباحثين في مجال الأمن من MetaIntell، الرائدة في مجال الذكاء أدى إدارة المخاطر المتنقلة (MRM)، وقد اكتشف ثغرة أمنية كبرى في أحدث نسخة من الفيسبوك SDK التي وضعت الملايين من الرموز مصادقة الفيسبوك المستخدم للخطر.
يُعد Facebook SDK لنظامي التشغيل Android و iOS أسهل طريقة لدمج تطبيقات الجوّال مع نظام Facebook ، الذي يوفر الدعم لمصادقة تسجيل الدخول مع Facebook والقراءة والكتابة إلى واجهات برمجة تطبيقات Facebook وغيرها الكثير.
تعد مصادقة Facebook OAuth أو آلية " تسجيل الدخول على Facebook " طريقة مخصصة وآمنة للمستخدمين لتسجيل الدخول إلى تطبيقات تابعة لجهات خارجية دون مشاركة كلمات المرور الخاصة بهم. بعد أن يوافق المستخدم على الأذونات كما يطلبها التطبيق ، تنفذ أداة Facebook SDK تدفق مستخدم OAuth 2.0 لاسترداد الرمز المميز للمستخدم السري الذي تطلبه التطبيقات للاتصال بواجهات برمجة تطبيقات Facebook لقراءة بيانات المستخدم على Facebook أو تعديلها أو كتابتها نيابةً عنها. .
الوصول غير المقروءة
من المهم عدم مشاركة رمزك السري مطلقًا مع أي شخص ، لكن الباحثين اكتشفوا أن مكتبة Facebook SDK تقوم بتخزينه بتنسيق غير مشفر على نظام ملفات الجهاز ، والذي يمكن الوصول إليه بسهولة حتى على جهاز iOS غير جذور أو iOS iOS.
" بعد 5 ثوانٍ فقط من الاتصال عبر USB ، يتوفر رمز الدخول المميز على نظام iOS عن طريق العصير ، وليس هناك حاجة إلى الهروب من السجن وعلى نظام ملفات Android ، يمكن الوصول إليه عبر وضع الاسترداد الذي يعد خداعًا ويتطلب المزيد من الوقت ." Chilik Tamir ، كبير المهندسين المعماريين ل MetaIntell قال هاكر نيوز .
التهديد من تطبيقات أخرى
وعلاوة على ذلك ، يمكن لأي تطبيق هاتف ذكي تابع لجهة خارجية مع إذن للوصول إلى نظام ملفات الجهاز قراءة هذا الملف وقادر على سرقة الرموز المميزة لمستخدمي فيسبوك عن بعد.
ووصف الباحثون هذه الثغرة بأنها " اختطاف جلسة تسجيل الدخول الاجتماعي. ". بمجرد استغلالها ، يمكن أن تسمح للمهاجم بالوصول إلى معلومات حساب Facebook الخاص بالضحية باستخدام رمز الوصول وطريقة اختطاف جلسة العمل.
مظاهرة الفيديو: STEALING FACEBOOK TOKEN من VIBER
نشر باحثون مقطع فيديو على Youtube ، مما يدل على وجود ثغرة في أحد أشهر تطبيقات المراسلة " VIBER " لنظام iOS.
، كل هذه دائرة الرقابة الداخلية وتطبيقات الروبوت عرضة لهذا الهجوم، الذين يستخدمون الفيسبوك SDK لتسجيل الدخول التطبيق وتخزين المستخدمين رمز وصول غير مشفرة على جهاز Chilik تامير قال إن هاكر الأخبار في البريد الإلكتروني.
" حددت MetaIntell أن 71 من أفضل 100 تطبيق iOS مجاني تستخدم Facebook SDK وتكون عرضة للتأثر ، مما يؤثر على أكثر من 1.2 مليار عملية تنزيل لهذه التطبيقات. من بين أفضل 100 تطبيق Android ، يستخدم 31 تطبيق Facebook SDK وبالتالي يجعل أكثر من 100 مليار عملية تنزيل لهذه التطبيقات . ”كما قال الباحث في مشاركة مدونة.
رد فعل سلبي من فريق أمن FACBOOK
لقد أبلغ فريق MetaIntell فريق Facebook Security عن الضعف ، ولكن يبدو أن Facebook ليس في حالة مزاجية لتحديث SDK الخاص به مع الإصلاح.
" لقد تابعت مع فريق المنبر الخاص بنا لمعرفة ما إذا كانت هناك أي تغييرات تريد إجراؤها هنا: - على جانب Android ، استنتجنا أننا لن نجري أي تغييرات: نحن مرتاحون لمستوى الأمان الذي يوفره نظام التشغيل أندرويد. - من جانب iOS ، يستكشف الفريق إمكانية نقل وحدة تخزين حق الوصول إلى keychain من أجل الامتثال لأفضل الممارسات. "أجاب فيسبوك على MetaIntell بعد تقرير الشوائب.
ماذا أفعل؟
يُنصح مستخدمو تطبيقات الجوّال بعدم استخدام خيار "تسجيل الدخول إلى Facebook" داخل تطبيقات الجوّال وعدم السماح للتطبيقات باستخدام تسجيل الدخول إلى Facebook. يُوصى بمطوري التطبيقات بنقل الرموز المميزة للوصول للمستخدمين من نظام ملفات الجهاز إلى التخزين الآمن عبر الإنترنت باستخدام القناة المشفرة.