-
-
[旧帖]
[分享]Check Point大神教你三步篡改facebook消息
0.00雪花
-
发表于:
2016-7-9 10:25
2115
-
[旧帖] [分享]Check Point大神教你三步篡改facebook消息
0.00雪花
有些时候我会收到一些邮件,很多读者都想知道如何去破解别人的Facebook账户,但是他们的目的仅仅只是为了删除那些因失误发送给朋友或同事的消息。
我曾在网上能看到的最愚蠢的问题便是——如何破解别人的Facebook账户。
对于这个问题,我只想说,这个方程并不存在可行解。但是大家也不要太失望,最近一位安全研究员给我们带来了一个惊喜,并向我们展示了如何通过简单的几个步骤篡改你在Facebook上已经发送给别人的信息。
网络安全公司的研究员Roman Zaikin的研究表明,Facebook网页聊天系统中存在一个配置问题,这个漏洞可以被用来修改或删除已经发送给别人的文字消息、图片、文件和链接等内容,在手机APP端也存在类似的问题。
尽管这个漏洞很简单,但却可能被一些别有用心的人不正当利用——在他们和别人聊天时先发送一个合法链接给对方,然后再迅速将这个合法链接换成一个非法链接,诱导用户安装一些恶意软件,最终感染并入侵用户系统。
利用过程
这个漏洞主要是利用消息签名认证机制。每条信息都有一个唯一的信息认证标示符即“message_id”,而这个标识符可以通过
http://www.facebook.com/ajax/mercury/thread_infso.php获得。
一旦得到message_id,攻击者就可以对消息内容进行篡改,然后发回给Facebook服务器,服务器收到新的消息后会把它当成合法消息并再次推送到受害者的电脑或手机设备。
视频演示:
https://i.ytimg.com/vi_webp/QRksIURxnks/sddefault.webp
Check Point资深安全研究员Oded Vanunu表示“通过这个漏洞,黑客可以在受害者毫不知情的情况下篡改所有聊天记录。且更糟糕的是,攻击者还可以实现自动化攻击。好在Facebook能做到快速响应,并且对用户隐私高度重视,令人感到欣慰。”
他们的安全研究人员在本月早些时候就发现了这个漏洞,并且提交给了Facebook。
Facebook快速修复了这个漏洞,接着Facebook官方表示这个漏洞仅对安卓APP有影响,不像外界传言的那样会影响到PC用户。
北京时间6月8日 ,Facebook官微发表博文称“根据我们的调查,这个是问题是由一个简单的应用配置错误导致的低危事件,并且现在已经修复,所以大家完全不用担心”。
此外,Facebook官方声称公司内部一直都在使用反病毒、反欺诈设备检测恶意软件和垃圾信息,所以这个漏洞根本无法被用来感染PC用户进行入侵。
[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课