Recentemente è stata scoperta (e già patchata) una falla di sicurezza di Facebook che permetteva di ottenere in pochi step la password di un account del noto social network.
La vulnerabilità era presente nel sistema che permette di linkare il proprio account Facebook ad un numero di cellulare così da ricevere tutte le notifiche direttamente via SMS.
Il ricercatore di sicurezza inglese Jack Whitten aka fin1te ha individuato il file che si occupa dell’attivazione di tale opzione e manipolando i parametri passati ha scoperto che si poteva alterare il parametro “profile_id” creando associazioni tra il proprio cellulare e qualsiasi profilo Facebook. Il file in questione è presente al percorso:
https://www.facebook.com/ajax/settings/mobile/confirm_phone.php
ed è lo script che riceve i dati e avvia la procedura per l’attivazione delle notifiche via SMS di Facebook.
La procedura per ottenere i dati di accesso di un account Facebook consisteva nei seguenti passaggi:
- Utilizzando un qualsiasi Http Header Tamper come Tamper Data per Firefox per esempio, si invia al file “confirm_phone.php” il parametro “profile_id” contenente l’id del profilo Facebook vittima. Questo valore lo si trova facilmente navigando su Facebook e analizzando il source delle pagine;
- La procedura di Facebook a questo punto richiede di inviare un SMS con testo “F” al numero di servizio di Facebook. Per l’Inghilterra è 32665 mentre per l’Italia è 3399932665. Tale step è necessario per indicare quale è il numero su cui attivare la notifica cosicché Facebook ci invii il codice di conferma necessario a completare l’attivazione;
- Utilizzando lo stesso metodo del punto 1) si effettua nuovamente il tamper dei dati verso lo script inserendo il codice di conferma (parametro “confirmation_code”) e il profilo vittima già indicato nel primo step.
A questo punto sul nostro cellulare avremo attivato le notifiche di un altro profilo e gli SMS ricevuti saranno stati 2:
- il codice di conferma ricevuto dopo la prima richiesta di abilitazione delle Notifiche via SMS
- la conferma dell’attivazione delle Notifiche dopo aver mandato il codice di conferma per il profilo vittima
come si vede dallo screenshot del cellulare di fin1te.
Seguendo queste operazioni avremo ottenuto l’attivazione dell Notifiche SMS sul nostro cellulare per un profilo non nostro e, in un certo senso, potremo spiare le conversazioni e l’attività social della vittima.
Giunti a questo punto come fare per ottenere i dati di accesso dell’account account Facebook vittima? La procedura è molto semplice, andiamo nella Home page del Social Network e clicchiamo sul classico “Hai dimenticato la password?”. Richiediamo il reset della password e avendo precedentemente linkato il profilo al nostro cellulare riceveremo il codice di reset del profilo Facebook vittima direttamente via SMS.
Il ricercatore ha ricevuto 20.000 dollari come ricompensa per la scoperta di questa grave falla di sicurezza. Recentemente avevamo segnalato un’altra falla nella sicurezza informatica di Facebook che potenzialmente poteva aver esposto 6 milioni di dati riservati degli utenti. Tali dati però si limitavano al numero di telefono o all’email mentre in questo caso la vulnerabilità dava la possibilità di spiare e accedere ad un account Facebook in pochi semplici passaggi.
Vista la gravità della falla molti altri cacciatori di bug (Bug Hunter) hanno polemizzato su quanto sia insignificante la ricompensa di 20.000 dollari per una falla che permetteva a chiunque di violare un account Facebook.
Mohammad Husain ha commentato con un “Questo vale più di $ 20.000”, mentre la collega blogger Hawk ha aggiunto: “Questo problema è degno di un milione di dollari“.
Un portavoce del social network ha chiarito che l’ammontare della cifra dipende dalla possibilità che ne venga fatto un uso di massa o automatico e non è questo il caso. Ha poi continuato a ringraziare Whitten e a elogiare il successo del programma White Hat di Facebook:
“Il programma White Hat di Facebook è stato progettato per individuare ed eliminare i bug prima che possano causare problemi. Ancora una volta, il sistema ha funzionato e ringraziamo Jack per il suo contributo”
Facebook ha provveduto immediatamente al fix di questa grave vulnerabilità e ha comunicato che ora non è più possibile alterare il profile_id.