Un chercheur rapporte comment pirater un compte Facebook avec Oculus Integration

Comment pirater le compte Facebook est quelque chose que presque tout le monde veut savoir - Et maintenant, un chercheur en sécurité a signalé à Facebook que l'intégration Oculus lui a permis de détourner les comptes Facebook.

Selon les conclusions d'un chercheur en sécurité, l'application Oculus est vulnérable à l'exploitation car un acteur malveillant peut pirater le compte Facebook en exploitant l'intégration d'Oculus. Oculus a été créé en 2012 et il est le plus célèbre pour le casque Oculus Rift Virtual Reality (VR). Pour offrir à ses utilisateurs une expérience plus «sociale» Facebook a acquis Oculus VR en juillet 2014. En août 2014, Facebook a ajouté des actifs Oculus à son programme de primes de bug blanc, grâce auquel le réseau social a pu identifier diverses vulnérabilités dans le service Oculus. Certaines failles étaient de nature sérieuse et un chercheur est allé chercher 25 000 $ pour avoir découvert une série de défauts.

Compte tenu de cette vulnérabilité d'Oculus VR, Josip Franjković, consultant en sécurité web, a décidé d'approfondir l'application Oculus pour Windows, principalement parce qu'elle permettait aux utilisateurs de lier leur compte Facebook à l'application. Il a identifié qu'en utilisant des requêtes GraphQL spécialement conçues, un attaquant peut facilement connecter le compte Facebook de n'importe quel utilisateur au compte Oculus de l'attaquant. Le langage de requête GraphQL a été développé par Facebook en 2012. Franjković a donc observé qu'il était possible de détourner les comptes Facebook en abusant de l'intégration du réseau social avec le casque Oculus VR.

La faille est essentiellement une faille CSRF (cross-site request forgery) qui permet le piratage sur le compte Facebook d'un utilisateur. Une fois piraté, l'attaquant peut facilement obtenir un jeton d'accès pour le compte et en prendre le contrôle total. Dans un scénario normal, ce jeton n'est pas accessible aux applications tierces.

Le mécanisme de détournement de compte a été démontré par Franjković où une requête GraphQL a été utilisée pour ajouter un nouveau numéro de téléphone mobile au compte Facebook ciblé. Le numéro a ensuite été utilisé pour réinitialiser le mot de passe du compte. Le 24 octobre, Franjković a informé Facebook de cette vulnérabilité. En réponse au rapport, Facebook a publié un correctif temporaire en désactivant le point de terminaison facebook_login_sso, qui a immédiatement été implémenté. Plus tard le 30 octobre, le réseau social a déployé le correctif permanent. Cependant, seulement quelques semaines plus tard, Franjković a déclaré à SecurityWeek que la faille CSRF était susceptible d'être exploitée pour contourner le patch. Puis le 18 novembre, une autre faille a été signalée et Facebook a de nouveau désactivé le point de terminaison facebook_login_sso. Trois semaines plus tard, Facebook a mis en place un patch complet. "Le correctif consistait à implémenter une vérification CSRF sur / account_receivable / endpoint ET à ajouter un clic supplémentaire pour confirmer le lien entre les comptes Facebook et Oculus. Je crois que cela corrige correctement la vulnérabilité sans trop dégrader l'expérience utilisateur ", a écrit Franjković dans son blog.