Bitdefender在Facebook的账户注册进程中发现一个可被间接利用的漏洞,允许攻击者控制启用Facebook社交登录功能网站的用户资料。
如果攻击者发现受害者拥有一个常用但尚未用于创建Facebook账户的邮件地址,那么这个漏洞就可被攻击者利用并创建一个属于攻击者的Facebook账户。当Facebook让攻击者证实身份时,他就能将自己真正的邮件地址添加到该账户作为第二个邮箱地址。
随后攻击者就会将第一邮件地址(即受害者的邮件地址)和第二邮件地址(攻击者自己的邮件地址)互换,并告知Facebook准备好确认该账户。随后Facebook就会发送确认邮件,攻击者验证资料并快速将邮件地址互换。随后Facebook就会认为该账户已被确认。
虽然该漏洞看起来似乎是Facebook注册进程中的一个简单缺陷,但实际上并非如此。因为Facebook的社交登录功能允许用户注册并登录其他站点,也就是说利用他人的邮箱注册Facebook账户会引发很多问题。
一个典型场景是,受害者在电商网站或业务管理门户站点上的账户可启用Facebook社交登录功能,那么攻击者就能自动利用被恶意注册的资料进行登录并控制受害者身份。
Facebook或这些关联站点都无法发现任何错误,因为站点上不会显示任何异常情况。Facebook看到的是有效用户登录到其它站点,而目标站点看到的是用户通过Facebook资料在不输入密码的情况下登录。而且两个站点所使用的邮箱可以对上号。
研究人员已将此事通知给Facebook,后者已修复该问题。