فیس بک کو سوراخ کرنے کی اجازت دی گئی ہے جس میں اکاؤنٹ کو اغوا کرنے کی اجازت دی گئی

فیس بک نے ایک سنگین خطرے کو سراہا ہے جو حملہ آوروں کو آسانی سے نجی صارف اکاؤنٹس کے ڈیٹا اور کنٹرول اکاؤنٹس تک رسائی حاصل کرنے کے لۓ صارفین کو کھولنے میں آسانی سے فائدہ اٹھانا پڑا ہے. ایک ویب ایپلی کیشن سیکورٹی محقق نے جمعہ کی صبح دیر سے کہا.

نون Goldshlager، محقق جو دعوی کا دعوی کرتے ہیں اور فیس بک پر اس نے اطلاع دی ہے، اس نے اپنے بلاگ پر کیسے کام کیا ہے اس کے بارے میں تفصیلی وضاحت اور ویڈیو مظاہرہ شائع کیا.

خطرے سے متعلق احتساب ممکنہ طور پر حملہ آور کو حساس ٹکڑوں کو معلوم کرنے کی اجازت دیتا ہے جسے OAuth تک رسائی ٹوکن کہا جاتا ہے. فیس بک کو OAuth پروٹوکول کا استعمال کرتے ہوئے صارفین کو ان کے منظور کرنے کے بعد صارف اکاؤنٹس تک رسائی حاصل کرنے کے لئے تیسرے فریق کے ایپلی کیشنز تک رسائی حاصل ہوتی ہے. ہر ایک ایپلی کیشن کو ہر صارف کے اکاؤنٹ کے لئے ایک منفرد رسائی ٹوکن مقرر کیا جاسکتا ہے.

[مزید پڑھنے: آپ کے ونڈوز پی سی سے میلویئر کو کیسے ہٹا دیں]

Goldshlager نے فیس بک کی ویب سائٹوں پر موبائل اور ٹچ فعال آلات کے لئے ایک کمزوری پایا جو غیر غلطی سے یو آر ایل کے راستوں کی صفائی. اس نے اسے یو آر ایلوں کو دستخط کرنے کی اجازت دی جو کسی صارف کے اپنے پروفائل پر کسی بھی ایپلی کیشنز کو انسٹال کرنے کے لئے استعمال کی ٹوکری کو چوری کرنے کے لئے استعمال کیا جا سکتا تھا.

فیس بک پر سب سے زیادہ ایپلی کیشنز تیسری پارٹی کے اطلاقات ہیں جو صارفین کو دستی طور پر منظور کرنے کی ضرورت ہے. کچھ بلٹ ان ایپلی کیشنز جو پہلے سے منظور شدہ ہیں. ایک ایسی درخواست فیس بک رسول ہے. اس تک رسائی کا نشانہ ختم نہیں ہوتا جب تک کہ صارف اپنا پاس ورڈ تبدیل نہ کردیں اور اس کے پاس اکاؤنٹ کے اعداد و شمار تک رسائی حاصل کرنے کی وسیع اجازت ہے.

فیس بک رسول رسول، پیغام بھیج، اپ لوڈ کریں اور پیغامات، اطلاعات، تصاویر، ای میلز، ویڈیوز اور مزید پڑھ سکتے ہیں. Goldshlager نے کہا کہ، m.facebook.com اور touch.facebook.com پر ملتا ہے URL کی خرابی کی خرابی کی وجہ سے، فیس بک میسنجر کے لئے صارف کی رسائی کے ٹوکن کو چوری کرنے کا استحصال کیا جا سکتا ہے، جس نے حملہ آور مکمل طور پر اکاؤنٹ تک رسائی حاصل کی تھی.

انگلی بگ ہنٹر کی طرف سے

حملے کے یو آر ایل کو بہت سارے یو آر ایل کو کم کرنے والے کی خدمات میں سے ایک کے ساتھ کم ہوسکتا ہے اور کچھ اور کے لئے ایک لنک کے طور پر استعمال کرنے والوں کو بھیج دیا جا سکتا ہے. Goldshlager نے کہا کہ اس حملے پر اکاؤنٹس پر بھی کام کیا جاسکتا ہے جس میں دو فیکٹر عنصر فعال تھا.

رسائی ٹوکن اور فیس بک صارف کی شناخت کے ساتھ، حملہ آور گراف API ایکسپلورر کا استعمال کرتے ہوئے صارف اکاؤنٹ سے معلومات نکال سکتا ہے. فیس بک کی سائٹ پر دستیاب ڈویلپرز کے لئے آلے، گولڈ شالجیر نے جمعہ کو ای میل کے ذریعہ کہا.

Goldshlager کے مطابق، فیس بک سیکورٹی ٹیم نے کمزوری کو طے کیا. انہوں نے کہا کہ "فیس بک پیشہ ورانہ سیکورٹی ٹیم ہے اور وہ بہت تیزی سے مسائل کو حل کرتی ہیں." ​​

"ہم سیکورٹی محقق کی تعریف کرتے ہیں جنہوں نے یہ مسئلہ اپنی توجہ پر لایا اور ذمہ دار طور پر ہمارے وائٹ ٹوٹ پروگرام کو مسئلے کی اطلاع دینے کے لۓ" ای میل کے ذریعے جمعہ کو کہا. "ہم اس ٹیم کے ساتھ کام کرتے ہیں کہ اس بات کا یقین کرنے کے لئے ہم نے اس خطرے کی مکمل گنجائش کو سمجھا، جس نے ہمیں کسی بھی ثبوت کے بغیر اس بات کا یقین کرنے کی اجازت دی کہ جنگلی جنگلی میں استحصال کیا گیا تھا. فیس بک پر اس مسئلے کے ذمہ دارانہ رپورٹنگ کی وجہ سے، ہمارے پاس کوئی ثبوت نہیں ہے کہ صارفین کو اس مسئلے سے متاثر کیا گیا تھا. فیس بک سیکورٹی میں ان کی شراکت کے لئے ہم نے ان کے شکریہ ادا کرنے کے لئے محققین کو ایک انعام فراہم کی ہے. "

محققین کا دعوی ہے کہ انہوں نے فیس بک پر اثر انداز کرنے والے دیگر OAuth سے متعلقہ خطرات بھی پایا، لیکن ان کے بارے میں کوئی معلومات نہیں ظاہر کی وجہ سے وہ ' ابھی تک مقرر نہیں کیا گیا ہے.

فیس بک ایک بگ فضلاتی پروگرام چلتا ہے جس کے ذریعہ یہ سیکیورٹی محققین کو معاوضہ ادا کرتا ہے جو ویب سائٹ کو متاثر کرتا ہے اور اسے ذمہ دار طور پر سائٹ کو متاثر کرتی ہے.

Goldshlager نے ٹویٹر پر کہا کہ ابھی تک وہ فیس بک کے ذریعہ فیس نہیں اس خطرے کی اطلاع کی اطلاع دیتے ہوئے، لیکن اس بات کا اشارہ کیا گیا کہ ان کی رپورٹ میں بہت سے خطرات شامل ہیں اور ان کے بعد ان سب کے بعد انہیں انعام ملے گا.

Goldshlager ای میل کے ذریعے کہا، فیس بک کی تلاش کرنے اور رپورٹنگ کے لئے، فیس بک سیکورٹی محققین کو بہت اچھی طرح سے ادائیگی کرتا ہے. "میں یہ نہیں کہہ سکتا کہ کتنی زیادہ، لیکن وہ کسی دوسرے بگ فضل کے پروگرام میں زیادہ جانتا ہوں جو میں جانتا ہوں."

فیس بک سے ایک تبصرہ شامل کرنے کیلئے 11:55 ایم ٹی پی میں تازہ کاری.