17/09/2018, 17:55

Lỗ hổng Facebook SDK khiến hàng triệu tài khoản của người dùng gặp nguy hiểm

Các nhà nghiên cứu bảo mật từ MetaIntell và Giám đốc Quản Lý Rủi Ro Điện Thoại (MRM) vừa mới phát hiện một lỗ hổng bảo mật lớn trên phiên bản mới nhất của Facebook SDK khiến hàng triệu thẻ xác thực (Token Authentication) của người dùng gặp nguy hiểm. Facebook SDK dùng trên hệ điều hành ...

facebook-sdk-access-token-hacking

Các nhà nghiên cứu bảo mật từ MetaIntell và Giám đốc Quản Lý Rủi Ro Điện Thoại  (MRM) vừa mới phát hiện một lỗ hổng bảo mật lớn  trên phiên bản mới nhất của Facebook SDK khiến hàng triệu thẻ xác thực (Token Authentication) của người dùng gặp nguy hiểm.

Facebook SDK dùng trên hệ điều hành Android và iOS là cách dễ nhất để tích hợp các ứng dụng di động với nền tảng Facebook hỗ trợ người dùng truy cập vào Facebook để tương tác với các Facebook API và còn rất nhiều tính năng khác.

Việc xác thực qua Facebook hay cơ chế “Login as Facebook” là một cách riêng tư và bí mật cho người người dùng để truy cập vào các ứng dụng của bên thứ 3 mà không cần phải lộ mật khẩu của mình. Sau khi người dùng chấp thuận các điều khoản theo yêu cầu của ứng dụng  thì Facebook SDK sẽ thực hiện việc lấy các thẻ truy cập (Access Token) bí mật của người dùng để  thao tác với tài khoản Facebook của người dùng thông qua các API của Facebook.

Các thẻ xác thực không được mã hóa

Một điều vô cùng quan trọng là bạn không được chia sẻ các token truy cập bí mật của mình cho bất kì ai. Tuy nhiên các nhà nghiên cứu nhận thấy rằng thư viện Facebook SDK lưu trữ thẻ này dưới dạng không được mã hóa trên các file system của thiết bị, nơi mà có thể truy cập một cách dễ dàng.

Các mối nguy hiểm từ các ứng dụng

Hơn nữa bất kì ứng dụng điện thoại thông minh bên thứ ba nào có quyền truy cập vào hệ thống file của thiêt bị đều có thể đọc được những dữ liệu này và có thể đánh cắp các thẻ truy cập của người dùng Facebook từ xa. Các nhà nghiên cứu gọi lỗ hổng này là “Đánh cắp dữ liệu bằng cách truy cập mạng xã hội”. Khi nó được khai thác nó sẽ cho phép một kẻ tấn công truy cập vào thông tin tài khoản Facebook của nạn nhân bằng cách sử dụng các token đánh cắp được.

Video minh họa

Các nhà nghiên cứu đã đăng một video lên Youtube để minh họa lỗ hổng này trên một trong những ứng dụng nhắn tin phổ biến nhất là “ VIBER” và trên hệ điệu hành iOS.

Tất cả các ứng dụng iOS và Android đều bị ảnh hưởng nghiêm trọng bởi vụ tấn công này, những người đang sử dụng Facebook SDK để tải ứng dụng và lưu trữ token không được mã hóa trên thiết bị. “MetaIntell đã xác định được 71 trong tốp 100 các ứng dụng miễn phí của iOS sử dụng Facebook SDK và gây ảnh hưởng đến hơn 1.2 triệu lượt download của những ứng dụng này. Trong số 100 ứng dụng Android có 31 ứng dụng sử dụng Facebook SDK và vì vậy gây nguy hại đến hơn 100 triệu người download những ứng dụng này.” Các nghiên cứu nói trên một blog.

Phản hồi thiếu trách nhiệm từ Facebook

Đội ngũ nhân viên của MetaIntell đã thông báo với đội bảo mật Facebook về lỗ hổng này nhưng dường như Facebook không có bất kì một thái độ tích cực nào để cập nhật và sửa SDK của họ

Facebook trả lời với MetaIntell sau khi lỗ hổng được thông báo “Tôi và đội ngũ nhân viên vẫn đang theo dõi để xem có bất kì một sự thay đổi đáng chú ý nào mà những kẻ tấn công sử dụng lỗ hổng này ở đây không?. Về phía Android chúng tôi sẽ không thực hiện bất kì thay đổi nào. Về phía iOS đội ngũ của chúng tôi đang theo dõi khả năng loại bỏ nguy cơ này trong việc lưu trữ token để tuân thủ các quy định một cách tốt nhất”.

Người dùng cần làm gì?

Các chuyên gia khuyến cáo rằng người sử dụng các ứng dụng điện thoại di động không nên sử dụng tùy chọn “Facebook Login” với các ứng dụng di động và không nên cho phép các ứng dụng này sử dụng Facebook để đăng nhập. Các nhà phát triển ứng dụng khuyến cáo người dùng nên loại bỏ các thẻ truy cập của họ khỏi hệ thống file của thiết bị.

0