Hackers podrien haver vulnerat comptes de Facebook a través d'Oculus

La integració de Facebook amb els cascos de realitat virtual Oculus podrien haver obert les portes perquè els atacants malintencionats segrestessin comptes mitjançant l'explotació d'aquesta darrera si el gegant de les xarxes socials no hagués solucionat les vulnerabilitats.

Oculus, millor conegut pels seus cascos Oculus Rift de realitat virtual (VR), va ser fundat el 2012. Al març de 2014, Facebook va anunciar que adquiriria Oculus VR, l'operació es va completar el juliol de 2014. A l'agost de 2014, Facebook va incloure Oculus Rift en el seu programa de recompensa d'errors investigadors per informar derrors. Des d'aleshores, s'han trobat diverses vulnerabilitats als serveis d'Oculus, que inclouen una sèrie de falles que li van valer a un investigador $25,000.

L'octubre de l'any passat, Josip Franjkovic, un consultor de seguretat web, va decidir examinar laplicació Oculus per a Windows, que permet als usuaris connectar els seus comptes de Facebook per a una experiència més social mitjançant lús de laplicació nativa Windows Oculus i navegadors.

En la investigació, Franjkovic va demostrar com un atacant podria segrestar comptes de Facebook fent servir consultes GraphQL especialment dissenyades per connectar el compte de Facebook de la víctima amb el compte Oculus de l'atacant i obtenir el access_token de la víctima, que també té accés al punt final GraphQL de Facebook. Mitjançant lús de consultes GraphQL especialment dissenyades, latacant pot prendre el control del compte de Facebook de la víctima, canviar el número de telèfon i després restablir la contrasenya del compte.

Franjkovic va informar sobre la vulnerabilitat a Facebook el 24 d'octubre sota el programa de recompenses d'errors de la companyia per al qual es va fer una reparació temporal el mateix dia que involucrava la desactivació del punt final facebook_login_sso. A més, Facebook va llançar un pegat permanent el 30 d'octubre.

Tot i això, Franjkovic va descobrir una vulnerabilitat d'inici de sessió de CSRF (falsificació de petició en llocs creuats) unes setmanes més tard que podria haver estat utilitzada per aprofitar el pegat de Facebook redirigint la víctima a una URL d'Oculus que l'atacant hagi triat.

Franjkovic va informar el segon error a Facebook el 18 de novembre, pel qual es va fer una reparació temporal el mateix dia en deshabilitar novament el punt final facebook_login_sso. Tres setmanes després, la companyia va llançar un pegat complet.

Tot i que Franjkovic no va revelar la quantitat de les recompenses que va obtenir de Facebook per descobrir les vulnerabilitats, el gegant de les xarxes socials va revelar la setmana passada que va acabar pagant $880,000 en recompenses d'errors el 2017 als investigadors de seguretat. Notícia escrita per Noé Cruz fundador i creador del bloc 1000 tipus informatics.