Facebookの「Login with Facebook」機能に10年間の脆弱性が存在

任意のアカウントをハッキング可能な脆弱性が、人気のソーシャルネットワークサイトFacebookで発見されました。セキュリティ研究者のAmol Baikarはこのことを自身のウェブサイトで発表しました。

"私は"Login with Facebook"機能を使用する際に常に不安を感じる理由を分析することにしました。彼らは複数のリダイレクトURLを使用していました。しかし、Facebookで脆弱性を見つけることと、最も優れたセキュリティ研究者たちを持つことは、簡単なことではないようでした。それはFacebook OAuthでバグを見つけるために非常に困難で挑戦的なものでした。"

専門家によれば、この重大な脆弱性は約10年の歴史があるとのことです。問題の根源は**「Login with Facebook」**機能にあり、これはOAuth 2.0認証プロトコルを使用しています。"Login with Facebook"はソーシャルネットワークと他のウェブサイト間でプロフィールデータを交換するために頻繁に使用されます。このため、アカウントは普遍的なものとなり、追加の登録なしに他のサービスでも使用できるようになります。

Baikarの作業の結果、サイバー犯罪者がトラフィックを盗むための悪意のあるサイトをリモートで設定し、認証データを盗む方法が確認されました。この方法では、ハッカーはFacebookユーザーアカウントにアクセスできます。その後、攻撃者はハッキングされたユーザーの名前でメッセージを送信したり、投稿を行ったり、アカウント情報を変更したりすることができます。また、これは、ハッカーがInstagram、Tinder、およびFacebookプロフィールと連携する他のアプリケーションのプロフィールを制御しようとする可能性も開きます。

Baikarは発見した脆弱性についてFacebookに通知しました。Facebookはその存在を確認し、修正しました。ソーシャルネットワークも専門家に55,000ドルの報酬を支払いました。

2019年11月には、Facebookの従業員がWhatsAppメッセンジャーの脆弱性を修正したことが報告されました。攻撃者がユーザーのデバイスをハッキングし、データを盗むための抜け穴がありました。