Sicurezza

Sicurezza Facebook: trovata vulnerabilità critica

Vulnerabilità Facebook
Condividi!

Vulnerabilità FacebookFacebook non sembra avere tregua dal punto di vista della sicurezza informatica. Da un mese a questa parte sono stati rilevate diverse falle di sicurezza critiche che potevano mettere a repentaglio gli indirizzi mail di alcuni account o, addirittura, permettevano di violare un account sfruttando un SMS.

Questa volta la falla è nel processo di rivendicazione di un indirizzo email e a scoprirla è stato Dan Melamed che ha postato l’analisi dettagliata della falla nel suo blog.

Quando un utente Facebook prova ad aggiungere un ulteriore indirizzo mail e questo risulta già utilizzato, Facebook ti da la possibilità di avviare il processo di rivendicazione che permette di confermare che siamo noi i reali utilizzatori della casella.

Dopo aver analizzato il processo di rivendicazione Dan Melamed ha riscontrato che Facebook non verifica la provenienza della richiesta e pertanto generando dei link ad hoc con un’indirizzo mail in suo possesso sarebbe stato possibile far aggiungere la sua email a, potenzialmente, qualsiasi account Facebook.

Per fare ciò ha creato una pagina “malevola” contenente in modalità nascosta (iframe o img) il link che abilita l’aggiunta di un indirizzo email all’account Facebook loggato.

Ciò significa che chiunque avesse visitato tale pagina stando loggato su Facebook avrebbe implicitamente accettato l’aggiunta dell’indirizzo mail di Dan come seconda email dell’account. Tutto sarebbe stato validato senza ricevere alcune comunicazione che avrebbe potuto insospettirci riguardo l’attività illecita.

Una volta ottenuto l’accesso si poteva cambiare la password lasciando fuori il reale proprietario del profilo Facebook.

Dan ha provveduto a realizzare un video PoC (Proof Of Concept) per dimostrare l’exploit della vulnerabilità trovata.

[youtube 9dCxbJbcAgg 600 366]

Il Team di Sicurezza Facebook è intervenuto prontamente provvedendo a patchare la vulnerabilità.

Click to comment
To Top