امنیت

هک اکانت فیسبوک با یک sms

این پست ترجمه آزادی است از پست سایت اخبار هکر.

تصورش رو می کردین که اکانت فیسبوک رو با یک اس‌ام‌اس و بدون نیاز به انجام کاری از سوی کاربر و بدون استفاده از فیشینگ، کیلاگر، تروجان و غیره هک کنید؟

یک کارشناس امنیتی انگلیسی به نام fin1te تونسته اینکار رو انجام بده و ما اینجا نحوه انجام رو مرور می کنیم.

فیسبوک امکان متصل کردن شماره تلفن به اکانت فیسبوک رو داره (البته ایران رو محدود کرده) و کابر می تونه غیر از اینکه به‌روزرسانی های اکانت رو از طریق اس‌ام‌اس دریافت کنه، می تونه علاوه بر نام کاربری و ایمیل با شماره تلفنش هم به اکانت وارد بشه.

طبق اعلام هکر، این راه نفوذ در پروسه متصل کردن شماره تلفن است و یا یک اشتباه تکنیکی در فایل زیر

بعد از متصل کردن شماره تلفن و زمان ارسال کد تایید که از فیسبوک در یافت کرده اید، این صفحه مقصد اطلاعات ارسالی است. اطلاعات ارسالی ۲ متغیر دارد، یکی کد تایید و دیگری profile_id.

کد ارسالی به صفحه گفته شده

کد ارسالی به صفحه گفته شده

کار هکر از اینجا شروع می شه

  1. تغییر profile_id به profile_id قربانی (با تغییر اطلاعات ارسالی بین راه)
  2. ارسال F به شماره ۳۲۶۶۵ که شماره سرویس دهنده فیسبوک در انگلیسه و دریافت کد ۸ رقمی تایید.
  3. قراردادن این کد در بخش “کد تایید” یا verification code و ارسال فرم
کد 8 رقمی دریافت شده

کد ۸ رقمی دریافت شده

در این مرحله فیسبوک شماره هکر رو پذیرفته و متصلش می کنه به اکانت قربانی

پیغام پذیرش فیسبوک

پیغام پذیرش فیسبوک

حالا کافیه که هکر به فیسبوک اعلام کنه پسوردش رو فراموش کرده تا یک کد به موبایلش بیاد برای تغییر پسورد و کار تمامه.

قسمت خوب خبر: فیسبوک این باگ رو برطرف کرده و دیگه profile_id رو از کاربر نمی گیره. همچنین $۲۰,۰۰۰ هم به fin1te پرداخته برای گزارش ضعف امنیتی.

Standard

Leave a Reply

Your email address will not be published. Required fields are marked *

This site uses Akismet to reduce spam. Learn how your comment data is processed.