研究人员发现能绕过Facebook 2FA验证的漏洞
研究人员揭露Meta帐号管理中心的安全漏洞,让攻击者得以破坏脸书或IG基于短信的双因素认证服务机制
文/林妍溱 | 2023-01-31发表
研究人员发现Meta双因素验证(2FA)平台的漏洞,让攻击者关闭目标用户的脸书或Instagram(IG)帐号已启用的2FA,而且也无法再使用。
这项漏洞是由研究人员Gtm Mänôz发现,位于Meta帐号管理中心(Accounts Center),后者作用在连结用户Facebook、IG及Meta帐号,以便用于个人档案资料同步等作业:管理中心接口中的个人资料页下,用户输入以电子邮件或短信收到的6位数字,通过2FA验证,就可将电子邮件信箱/电话号码加到相连结的IG及FB帐号。
在输入6位数字验证码欲进行2FA时,Meta帐号管理中心会传送HTTP请求到Meta服务器的端点完成验证。基本上,研究人员先以随机6位数字进行验证,再利用Burp Suite等工具拦截验证端点的请求网址(下图),目的在试图改造。
研究人员指出,由于Meta验证端点没有速限(rate-limit)防护,因此6位数字码可以无限次修改以暴力破解。若成功完成6位数比对,电邮信箱/电话号码就会和攻击者IG(或脸书)帐号连结。
一旦电话号码完全确认与攻击者IG或FB帐号连结,则受害者自己的IG或FB帐号2FA机制就会被关闭,或从受害者帐号删除。如果电话号码只确认是2FA之用(但未与受害者帐号连结),则该电话号码也会被从其帐号删除,2FA也会被撤销。这么一来,受害者就再也无法使用FB短信2FA,且攻击者能绕过IG/FB的联络资料(电子邮件和电话号码)验证,不论是新的,或是已注册过的联络资料(且FB也无法再增加已知的信箱)。
研究人员去年9月14日通报Meta,Meta在10月中修补这项漏洞,他也因此获颁2.7万美元的抓漏奖金。
https://ithome.com.tw/news/155299
yoyodiy: