图片来源于unsplash
该漏洞位于Facebook端点facebook.com/comet/dialog_DONOTUSE/中,黑客可利用该漏洞在用户时间轴上发布任意消息、更改或删除用户账户信息及图片,甚至可通过更改用户邮件地址或电话号码来接管账户。
Samm0uda表示,使用单个URL接管账户时,需要找到以用户权限授权恶意应用的参数端点,从而获取用户Facebook访问令牌并接管账户。此外,通过访问两个单独的URL可更轻易完成账户接管,其中一个URL用于添加电子邮件或电话号码,另一个URL用于确认命令。
图片来源于unsplash
截至目前,该漏洞已被修复,Facebook还向Samm0uda支付了2.5万美元作为发现漏洞的奖励。专家建议用户可开启双因素身份验证,以减轻此类账户接管攻击的影响。
上文内容不用于商业目的,如涉及知识产权问题,请权利人联系博为峰小编(021-64471599-8017),我们将立即处理。
