ফেইসবুক প্লাগ হোল যা একাউন্ট হাইজ্যাকিংয়ের অনুমতি দেয়

ফেসবুকে একটি গুরুতর দুর্বলতা প্যাচ করেছে যা আক্রমণকারীদের সহজে ব্যক্তিগত ব্যবহারকারীর অ্যাকাউন্টের ডেটা এবং নিয়ন্ত্রণের অ্যাকাউন্টগুলিতে প্রবেশ করতে সক্ষম হ'ল ব্যবহারকারীদের টুকরো টুকরো করে ফেলতে পারে বিশেষভাবে নির্মিত লিংক, একটি ওয়েব অ্যাপ্লিকেশন নিরাপত্তা গবেষক দেরী বৃহস্পতিবার বলেন।

নির Goldshlager, ফৌজদারী খুঁজে পাওয়া এবং ফায়ারফ্লুসে রিপোর্ট করার দাবি করে গবেষক, তার ব্লগে কিভাবে আক্রমণ তার কাজ কিভাবে একটি বিস্তারিত বিবরণ এবং ভিডিও বিক্ষোভ পোস্ট।

দুর্বলতা একটি সম্ভাব্য আক্রমণকারীকে OAuth অ্যাক্সেস টোকেন হিসাবে পরিচিত সংবেদনশীল টুকরা তথ্য চুরি করতে অনুমতি দেবে। ব্যবহারকারীদের তাদের অনুমোদন পরে তৃতীয় পক্ষ অ্যাপ্লিকেশন অ্যাক্সেস ব্যবহারকারী অ্যাকাউন্ট অ্যাক্সেস করতে ফেসবুক OAuth প্রোটোকল ব্যবহার করে। প্রতিটি অ্যাপ্লিকেশন প্রতিটি ব্যবহারকারী অ্যাকাউন্টের জন্য একটি অনন্য অ্যাক্সেস টোকেন বরাদ্দ করা হয়।

[আরও পাঠ্য: আপনার উইন্ডোজ পিসি থেকে ম্যালওয়্যার সরাতে কিভাবে]

গোল্ডশ্লাগার মোবাইল এবং স্পর্শ-সক্ষম ডিভাইসের জন্য ফেসবুকের ওয়েবসাইটগুলিতে দুর্বলতা খুঁজে পেয়েছে যা অনুপযুক্ত URL পাথের স্যানিটাইজেশন এটি তাকে ইউআরএলগুলি তৈরি করার অনুমতি দেয় যা ব্যবহারকারীর প্রোফাইলে ইনস্টল করা যেকোনো অ্যাপ্লিকেশনের জন্য অ্যাক্সেস টোকেন চুরি করতে পারে।

ফেসবুকের বেশিরভাগ অ্যাপ্লিকেশনগুলি তৃতীয় পক্ষের অ্যাপ্লিকেশন যা ব্যবহারকারীদের ম্যানুয়ালি অনুমোদন প্রয়োজন, সেখানে একটি কিছু বিল্ট-ইন অ্যাপ্লিকেশনগুলি প্রাক-অনুমোদিত এক ধরনের অ্যাপ্লিকেশন ফেসবুক মেসেঞ্জার; তার অ্যাক্সেস টোকেন মেয়াদ শেষ হয় না যখন ব্যবহারকারী তার পাসওয়ার্ড পরিবর্তন করে এবং অ্যাকাউন্ট ডেটা অ্যাক্সেস করার ব্যাপক অনুমতি রয়েছে।

ফেসবুক মেসেঞ্জার বার্তা, বিজ্ঞপ্তি, ফটো, ইমেল, ভিডিও এবং আরও অনেক কিছু পড়তে, পাঠাতে, আপলোড করতে এবং পরিচালনা করতে পারে। ইউটিউব ম্যানিপুলেশন দুর্বলতা m.facebook.com এবং touch.facebook.com- এ পাওয়া যায়, তবে ফেসবুক মেসেঞ্জারের জন্য ব্যবহারকারীর অ্যাকসেস টোকন চুরি করতে ব্যবহার করা হতো, যা আক্রমণকারীকে পুরো অ্যাক্সেসটি অ্যাকসেস দিতে পারত। Goldshlager বলেন।

Fingered বাগ-হান্টার দ্বারা

আক্রমণের URLটি অনেকগুলি ইউআরএল শর্টনর সার্ভিসগুলির মধ্যে একটির সংখ্যাগরিত হতে পারে এবং ব্যবহারকারীদের কাছে পাঠানো হয়েছে যা অন্য কিছুকে একটি লিঙ্ক হিসাবে চিহ্নিত করে। ফেসবুকের দুই-ফ্যাক্টর প্রমাণীকরণ সক্ষম করে এমন অ্যাকাউন্টে হামলাটিও কাজ করবে, গোল্ডস্লাগার বলেন।

অ্যাক্সেস টোকেন এবং ফেসবুক ইউজার আইডি দিয়ে, একজন আক্রমণকারী গ্রাফ এপিআই এক্সপ্লোরার ব্যবহার করে ব্যবহারকারী অ্যাকাউন্ট থেকে তথ্য বের করতে পারেন। ফেসবুকের সাইটে উপলব্ধ ডেভেলপারদের জন্য টুল, গোল্ডস্লাগার শুক্রবার ইমেল মাধ্যমে।

Goldshlager অনুযায়ী, ফেসবুক নিরাপত্তা দলের দুর্বলতা নির্ধারণ। "ফেসবুকের একটি পেশাদার নিরাপত্তা দল রয়েছে এবং তারা খুব দ্রুত বিষয়গুলি ঠিক করে", তিনি বলেন।

"নিরাপত্তা বিষয়ক গবেষক যিনি আমাদের এই বিষয়টি নিয়ে আসেন এবং আমাদের হোয়াইট হাট প্রোগ্রামে বাগ সম্পর্কে দায়িত্বশীলভাবে প্রতিবেদন করার জন্য প্রশংসা করেছেন", একজন ফেসবুক প্রতিনিধি ইমেল মাধ্যমে শুক্রবার বলেন "আমরা দুর্বলতার পূর্ণ সুযোগ বুঝে নিশ্চিত করার জন্য দলটির সঙ্গে কাজ করেছি, যা আমাদের কোনও প্রমাণ ছাড়াই এটি ঠিক করার জন্য অনুমোদন করেছিল যে এই বাগটি বন্য অবস্থায় শোষিত হয়েছিল। ফেসবুকে এই সমস্যাটির দায়ী রিপোর্টের কারণে আমাদের এই প্রমাণ নেই যে ব্যবহারকারীদের এই বাগ দ্বারা প্রভাবিত হয়েছে। আমরা ফেসবুক সিকিউরিটিতে তাদের অবদানের জন্য ধন্যবাদ জানানোর জন্য গবেষককে একটি অনুদান প্রদান করেছি। "

গবেষক দাবি করেন যে তিনি অন্য OAuth- সম্পর্কিত দুর্বলতাগুলিও আবিষ্কার করেছেন যা ফেসবুকে প্রভাবিত করে, কিন্তু তাদের সম্পর্কে কোনও তথ্য প্রকাশ করতে অস্বীকার করে কারণ তারা ' এখনও পর্যন্ত স্থির করা হয়নি।

ফেসবুক একটি বাগ বার্ষিক প্রোগ্রাম চালায় যার মাধ্যমে এটি নিরাপত্তা গবেষকদের জন্য আর্থিক পুরস্কার প্রদান করে যারা এই সাইটকে প্রভাবিত করে এবং দুর্বলতার রিপোর্ট করে।

গোল্ডশ্লাগার টুইটারে বলেন যে তিনি এখনো ফেসবুকে অর্থ প্রদান করেননি এই দুর্বলতা রিপোর্ট, কিন্তু লক্ষনীয় যে তার রিপোর্ট একাধিক দুর্বলতা অন্তর্ভুক্ত এবং যে সম্ভবত পুরস্কার পাবেন তাদের সব সংশোধন করা হবে।

ফেইসবুক নিরাপত্তারক্ষীদেরকে বাগ অনুসন্ধান ও রিপোর্ট করার জন্য খুব ভাল করে দেয়, গোল্ডস্লাগার ইমেলের মাধ্যমে বলে। "আমি বলতে পারব না কত, কিন্তু তারা আরো যে আমি অন্য যে বাগ বাছাই প্রোগ্রাম আরো দিতে।"

আপডেট 11:55 একটি পিটি যাও ফেসবুকে একটি মন্তব্য অন্তর্ভুক্ত।