این پست ترجمه آزادی است از پست سایت اخبار هکر.
تصورش رو می کردین که اکانت فیسبوک رو با یک اساماس و بدون نیاز به انجام کاری از سوی کاربر و بدون استفاده از فیشینگ، کیلاگر، تروجان و غیره هک کنید؟
یک کارشناس امنیتی انگلیسی به نام fin1te تونسته اینکار رو انجام بده و ما اینجا نحوه انجام رو مرور می کنیم.
فیسبوک امکان متصل کردن شماره تلفن به اکانت فیسبوک رو داره (البته ایران رو محدود کرده) و کابر می تونه غیر از اینکه بهروزرسانی های اکانت رو از طریق اساماس دریافت کنه، می تونه علاوه بر نام کاربری و ایمیل با شماره تلفنش هم به اکانت وارد بشه.
طبق اعلام هکر، این راه نفوذ در پروسه متصل کردن شماره تلفن است و یا یک اشتباه تکنیکی در فایل زیر
1 | /ajax/settings/mobile/confirm_phone.php |
بعد از متصل کردن شماره تلفن و زمان ارسال کد تایید که از فیسبوک در یافت کرده اید، این صفحه مقصد اطلاعات ارسالی است. اطلاعات ارسالی ۲ متغیر دارد، یکی کد تایید و دیگری profile_id.
کد ارسالی به صفحه گفته شده
کار هکر از اینجا شروع می شه
- تغییر profile_id به profile_id قربانی (با تغییر اطلاعات ارسالی بین راه)
- ارسال F به شماره ۳۲۶۶۵ که شماره سرویس دهنده فیسبوک در انگلیسه و دریافت کد ۸ رقمی تایید.
- قراردادن این کد در بخش “کد تایید” یا verification code و ارسال فرم
کد ۸ رقمی دریافت شده
در این مرحله فیسبوک شماره هکر رو پذیرفته و متصلش می کنه به اکانت قربانی
پیغام پذیرش فیسبوک
حالا کافیه که هکر به فیسبوک اعلام کنه پسوردش رو فراموش کرده تا یک کد به موبایلش بیاد برای تغییر پسورد و کار تمامه.
قسمت خوب خبر: فیسبوک این باگ رو برطرف کرده و دیگه profile_id رو از کاربر نمی گیره. همچنین $۲۰,۰۰۰ هم به fin1te پرداخته برای گزارش ضعف امنیتی.