ما در سال ۲۰۱۹ هستیم، تنها یک کلیک روی لینکی مخصوص می‌تواند  فرصت هک کردن اکانت فیسبوک شما را برای هکر فراهم کند.

یک محقق امنیت سایبری نقصی خطرناک به نام  CSRF (عبور از درخواست های سایت و ارسال درخواست های جعلی) را در محبوبترین برنامه شبکه اجتماعی کشف کرده، که در آن مهاجم برای نفوذ به اکانت فیسبوک کاربران، فقط باید آنها را فریب دهد تا بر روی یک لینک کلیک کنند.

او زمانی متوجه این آسیب پذیری شد که یک نقطه­ ضعف در آدرس (facebook.com/comet/dialog_DONOTUSE/) مشاهده کرد که می‌توان با استفاده از آن لایه‌های امنیتی CSRF را دور زد و اکانت کاربر را تصاحب کرد.

این محقق در وبلاگ خود نوشت که به دلیل وجود یک آدرس معیوب، مهاجم می ­تواند با انتخاب یک آدرس و اضافه کردن پارامتر fb_dtsg یک درخواست برای آن آدرس بسازد و به فرد ارسال کند.

این آدرس در زیر آدرس اصلی فیسبوک نوشته شده که کار مهاجم در متقاعد کردن قربانی را آسان­تر می ­کند.

همانگونه که قبلا هم گفته شد، مهاجم باید قربانیانش را فریب دهد تا روی لینکی مخصوص کلیک کنند، این آدرس برای اجرای کارهای مختلفی همچون پست گذاشتن در تایم ­لاین، حذف یا تغییر عکس پروفایل و حتی فریب کاربران و حذف اکانت فیسبوک آنها استفاده می‌شود.

نفوذ تک کلیکی و کنترل کامل اکانت­‌های فیسبوک

کنترل کامل اکانت قربانیان یا فریب آنها به حذف اکانتشان، به تلاش بیشتری نیاز دارد. به این علت که برای پاک شدن اکانت، قربانی باید رمز خود را وارد کند.

به گفته محقق برای این کار، قربانی باید به دو سایت جداگانه برورد، در یکی ایمیل و یا شماره خود را وارد کند و در دیگری آن را تائید کند.

آدرس های معمولی که برای اضافه کردن ایمیل یا شماره تلفن استفاده می­‌شود گزینه NEXT (بعدی) ندارد تا پس از انجام موفق درخواست، آنها را به صفحه­ قبلی بازگرداند.

با این وجود، این محقق می­‌تواند تنها با ارسال یک لینک اکانت فرد را تصاحب کند، تنها باید آدرسی یافت که در آن گزینه Next وجود دارد، سپس قربانی با یک کلیک، برنامه مخرب را اجرا می ­کند و می­‌توان به رمز فیسبوک او دسترسی پیدا کرد.

با دستیابی به رمزهای کاربران، به طور خودکار ایمیل مهاجم به اکانت­‌ها اضافه می­‌شود، و مهاجم با بازنشانی رمز عبور کنترل کامل اکانت را به دست می‌گیرد و اکانت از درسترس کاربر اصلی خارج می ­شود.

با اینکه این روش هک و کنترل اکانت، چند مرحله ­ای است، هر کاربر خرابکاری می‌تواند با این روش اکانت فیسبوک شما را در یک چشم به هم زدن تصاحب کند.

اگر برای ورود به فیسبوک، رمز دو مرحله­‌ای را فعال کرده باشید می­‌توانید تاثیرات چنین حملاتی را کاهش دهید. چون در این صورت هکر تا زمانی که کد ۶ رقمی ارسال شده به موبایلتان را ن­داند، نمی ­تواند وارد اکانت شما شود. با وجود پیش گیری های به عمل آمده، نمی­ توان از تمامی حملات مثل تغییر یا حذف عکس پروفایل، آلبوم‌ها یا ارسال مطلب در تایم ­لاین، جلوگیری کرد.

محقق در تاریخ ۲۶ ژانویه این نقص را گزارش داد و این غول ارتباط جمعی در تاریخ ۳۱ ژانویه مشکل را بررسی کرد. در نتیجه این بررسی ها،۲۵ هزار دلار جایزه، به خاطر طرح کشف ایرادهای­ فیسبوک به او پرداخت گردید.

نظرات

نظر (به‌وسیله فیس‌بوک)