Februari 17, 2014
Facebook sering kali menjadi mangsa untuk serangan hacker. Bolehkah anda membayangkan bahawa SMS adalah cukup untuk hack mana-mana akaun Facebook tanpa interaksi pengguna atau tanpa menggunakan mana-mana software berniat jahat seperti Trojan, phishing, keylogger dan lain-lain?
Penyelidik Keselamatan UK "fin1te" boleh hack mana-mana akaun Facebook dalam satu minit dengan melakukan satu SMS.
Pengguna Facebook mendapat pilihan menghubungkan nombor telefon bimbit dengan akaun anda, yang membolehkan anda untuk menerima kemas kini akaun Facebook melalui SMS secara langsung ke telefon mudah alih dan juga boleh login ke dalam akaun tanpa menggunakan e-mel anda atau usename.
Menurut penggodam, terdapat 'loophole' semasa proses menghubungkan nombor telefon atau dari segi teknikal di fail /ajax/settings/mobile/confirm_phone.php
Semasa proses itu, terdapat dua parameter utama, satu kod pengesahan dan kedua adalah profile_id yang akan dihubungkan ke nombor telefon tersebut.
Apa yang dilakukan hacker adalah:
- Menukar nilai profile_id kepada nilai profile_id mangsa.
- Menghantar huruf F ke 32665, yang merupakan Facebook SMS code di UK. Anda akan menerima kod pengesahan 8 digit.
- Masukkan kod pengesahan CONFIRMATION_CODE dan hantar borang.
- Facebook akan menerima kod pengesahan dan nombor telefon bimbit penyerang itu akan dikaitkan dengan profil facebook mangsa.
- Dalam langkah seterusnya penggodam hanya perlu pergi ke pilihan lupa kata laluan dan memulakan permintaan semula kata laluan terhadap akaun mangsa.
Facebook tidak lagi menerima profile_id parameter daripada pengguna selepas menerima laporan. Sebagai balasan, Facebook membayar $20,000 kepada fin1te sebagai Bug Bounty.
