首页
社区
课程
招聘
Facebook的SDK漏洞威胁数以百万计的手机用户账户
发表于: 2014-7-15 14:15 1707

Facebook的SDK漏洞威胁数以百万计的手机用户账户

2014-7-15 14:15
1707
新闻链接:http://www.freebuf.com/news/38270.html

Facebook的对于Android和IOS的SDK提供了使用身份验证登录Facebook,读取和写入到Facebook API等许多简易方式。
Facebook的OAuth认证或说“以Facebook账户”登录的机制,提供了一种无需用户输入用户名或者密码就能在第三方app上直接登录的个性化而安全的方式。Faceook的SDK通过实现OAuth2.0的用户代理流程来获取应用所需要的访问令牌,从而实现利用Facebook的API来实现读取,修改或写入用户的Facebook数据的功能。

访问未加密的访问令牌
    用户的私人的秘密访问令牌本应当永远不会与任何人共享。但令人惊奇的是,研究人员发现,Facebook的SDK库直接把令牌以明文格式存储在设备上,任何人都能轻易地获取Android或者IOS的加密令牌,而完全不需要root或者越狱,我和我的小伙伴都惊呆了!
    “在一台IOS设备上,插上USB之后,仅仅需要5秒钟,就可以通过juice jacking 攻击获取到访问令牌。”MetaIntell的首席架构师Chilik Tamir告诉记者。
来自其他程序的威胁
    他还说,除此之外,我们手机上的任何被赋予读取文件系统权限的app都能够远程访问或者偷取用户的Facebook访问令牌。
    研究人员戏称为漏洞“社会登录会话劫持”。该漏洞一旦被利用,便可以让攻击者通过访问令牌和会话劫持的方法来访问受害者的Facebook帐户信息。
视频演示
    研究人员在youtube上发布了一段视频,该视频展示了研究人员是如何通过IOS版的Viber利用这个漏洞的。(很明显,Viber使用了Facebook的OAuth认证登录方式)
演示视频:http://www.youtube.com/watch?v=1fylUF_YUqk //需要翻墙
    Chilik Tamir 说,所有使用Facebook的OAuth认证方式登录的iOS和Android应用程序都非常容易受到这种攻击。
    研究人员在blog中写道,“MetaIntell已确定的前100名免费iOS应用程序中,有71个是使用Facebook
SDK的,而这些app的下载量已经达到了12亿,影响范围相当广。而在排名前100位的Android应用程序中,有31个app利用Facebook的SDK,下载次数则超过了1000亿。”
Facebook的安全团队的回应
    MetaIntell团队已经通知了Facebook的安全团队有关该漏洞的信息,但貌似
    收到MetalIntell的漏洞报告之后,Facebook回应到:“我跟进了我们的平台开发团队,看看他们是否会在这方面作出任何变更:-在Android方面,我们已经得出结论,我们不会做任何改变:我们认为安卓系统提供的安全等级是足够高的。-另一方面,我们的Facebook没有修复SDK的打算。IOS团队正在探索以最安全方式将访问令牌存储到通过密钥方可访问的储存位置的可能性。“

[招生]科锐逆向工程师培训(2024年11月15日实地,远程教学同时开班, 第51期)

收藏
免费 0
支持
分享
最新回复 (0)
游客
登录 | 注册 方可回帖
返回
//