ウェブアプリケーションセキュリティ研究者が木曜遅くに明らかにしたところによると、攻撃者が特別に細工したリンクを開かせることでユーザーのプライベートアカウントデータに簡単にアクセスし、アカウントを制御できる可能性がある重大な脆弱性がFacebook社によって修正されたという。
この欠陥を発見しFacebookに報告したと主張する研究者のニール・ゴールドシュラガー氏は、攻撃の仕組みに関する詳細な説明とビデオデモを自身のブログに投稿した。
この脆弱性により、潜在的な攻撃者はOAuthアクセストークンと呼ばれる機密情報を盗むことが可能でした。FacebookはOAuthプロトコルを使用して、ユーザーが承認したサードパーティアプリケーションにユーザーアカウントへのアクセスを許可しています。各アプリケーションには、ユーザーアカウントごとに固有のアクセストークンが割り当てられます。
ゴールドシュラガー氏は、Facebookのモバイルおよびタッチ対応デバイス向けウェブサイトに、URLパスの不適切なサニタイズに起因する脆弱性を発見しました。これにより、ユーザーがプロフィールにインストールしたアプリケーションのアクセストークンを盗むために使用できるURLを作成することができました。
Facebook上のアプリケーションのほとんどはユーザーが手動で承認する必要があるサードパーティ製アプリですが、事前に承認されている組み込みアプリケーションもいくつかあります。そのようなアプリケーションの1つがFacebook Messengerです。Messengerのアクセストークンはユーザーがパスワードを変更しない限り期限切れにならず、アカウントデータへのアクセスに関する広範な権限を持っています。
Facebook Messengerは、メッセージ、通知、写真、メール、動画などの閲覧、送信、アップロード、管理が可能です。m.facebook.comとtouch.facebook.comで発見されたURL操作の脆弱性は、攻撃者がFacebook Messengerのユーザーアクセストークンを盗み出すために悪用される可能性があり、これにより攻撃者はアカウントへのフルアクセスを得ることができたとゴールドシュラガー氏は述べています。
バグハンターに指で触れられる
攻撃に使用されたURLは、数あるURL短縮サービスのいずれかで短縮され、別のURLへのリンクを装ってユーザーに送信された可能性がある。ゴールドシュラガー氏によると、この攻撃はFacebookの2段階認証が有効になっているアカウントでも機能した可能性があるという。
ゴールドシュラガー氏は金曜日、電子メールで、アクセストークンとFacebookユーザーIDがあれば、攻撃者はFacebookのサイトで入手できる開発者向けツール「Graph API Explorer」を使ってユーザーアカウントから情報を抽出できると述べた。
ゴールドシュラガー氏によると、Facebookのセキュリティチームがこの脆弱性を修正したという。「Facebookにはプロのセキュリティチームがあり、非常に迅速に問題を解決してくれます」と彼は述べた。
Facebookの担当者は金曜日、メールで「この問題を報告し、責任ある方法でホワイトハットプログラムにバグを報告してくれたセキュリティ研究者に感謝します」と述べた。「私たちはチームと協力して脆弱性の全容を把握し、このバグが実際に悪用されたという証拠を一切残すことなく修正することができました。Facebookへの責任ある報告のおかげで、ユーザーがこのバグの影響を受けたという証拠はありません。Facebookセキュリティへの貢献に感謝し、研究者に報奨金を提供しました。」
研究者は、Facebook に影響を及ぼす他の OAuth 関連の脆弱性も発見したと主張しているが、まだ修正されていないため、それらに関する情報を明らかにすることを拒否した。
Facebook はバグ報奨金プログラムを運営しており、サイトに影響を与える脆弱性を発見し責任を持って報告したセキュリティ研究者に金銭的な報酬を支払っている。
ゴールドシュラガー氏はツイッター上で、この脆弱性を報告したことに対してまだFacebookから報酬を受け取っていないが、報告した脆弱性には複数の脆弱性が含まれており、おそらくすべてが修正された後に報酬を受け取ることになるだろうと述べた。
Facebookはセキュリティ研究者に対し、バグの発見と報告に対して非常に高い報酬を支払っていると、ゴールドシュラガー氏はメールで述べた。「いくらかは言えませんが、私が知る限り、他のどのバグ報奨金プログラムよりも高い報酬を支払っています。」
Facebook からのコメントを追加するために、太平洋標準時午前 11 時 55 分に更新されました。
