2024年2月29日、Facebookに存在した脆弱性が、攻撃者によるアカウント乗っ取りを可能にしていたことが報告された。このバグは、ネパール出身のバウンティハンター、Samip Aryalによって発見され、Facebookによって修正された。Aryalは、Androidのアンインストールおよび再インストールプロセスを調査することから始め、パスワードリセットフローで興味深い反応を複数のユーザーエージェントを使用して発見した。
この脆弱性の特徴は、ログインコードが2時間有効であり、その期間中にリクエストしてもコードが変更されず、誤ったログインコードを試みた場合の検証がないことであった。これらのコードは6桁のみであり、Aryalはブルートフォース攻撃(繰り返しログイン認証情報にアクセスを試みる攻撃)の機会を見出した。攻撃者は任意のFacebookアカウントを選択し、そのユーザーとしてログインを試み、パスワードリセット(パスワードを忘れた場合)をリクエストし、「Facebook通知を介してコードを送信」オプションを選択することで、POSTリクエストを作成し、100,000の可能性を試す方法を使用した。一致するコードが302ステータスコードで応答し、検索が成功したことを確認するリダイレクトを行う。正しいコードを使用してパスワードをリセットすることで、攻撃者はアカウントを乗っ取ることができる。
ただし、アカウントの所有者は、ログインしているデバイス上で通知を見ることになる。通知には2種類あり、1つ目は上記の方法で機能するが、2つ目はアカウントの所有者がその通知をタップする必要があるため、アカウントの乗っ取りがより困難になる。FacebookはAryalに報奨金を授与し、問題を修正した。Aryalは他のバウンティハンターと共に、Facebookおよびその他のプラットフォームをより安全な場所にするために、Metaに数百の報告を提出し、解決に至った。
【ニュース解説】
2024年2月29日に報告されたFacebookの脆弱性は、攻撃者が何もクリックせずにFacebookアカウントを乗っ取る可能性があるというものでした。この脆弱性は、ネパール出身のバウンティハンターであるSamip Aryalによって発見され、Facebookによって修正されました。Aryalは、Androidデバイス上でのアンインストールおよび再インストールプロセスを調査することから始め、パスワードリセットフローにおいて、複数のユーザーエージェントを使用して興味深い反応を発見しました。
この脆弱性の発見は、ログインコードが2時間有効であること、その期間中にリクエストしてもコードが変更されないこと、そして誤ったログインコードを試みた場合の検証がないことが特徴でした。これらのコードは6桁のみであるため、Aryalはブルートフォース攻撃の機会を見出しました。この攻撃方法では、攻撃者は任意のFacebookアカウントを選択し、そのユーザーとしてログインを試み、パスワードリセットをリクエストし、「Facebook通知を介してコードを送信」オプションを選択します。これにより、POSTリクエストが作成され、100,000の可能性を試す方法が使用されました。一致するコードが302ステータスコードで応答し、検索が成功したことを確認するリダイレクトが行われます。正しいコードを使用してパスワードをリセットすることで、攻撃者はアカウントを乗っ取ることができます。
しかし、アカウントの所有者はログインしているデバイス上で通知を見ることになります。通知には2種類あり、1つ目は上記の方法で機能しますが、2つ目はアカウントの所有者がその通知をタップする必要があるため、アカウントの乗っ取りがより困難になります。
この脆弱性の発見と修正は、Facebookや他のプラットフォームのセキュリティを強化する上で重要な意味を持ちます。ユーザーは、パスワードリセットのリクエストが自分によるものでない場合は、その指示に従うことが重要です。また、Facebookログインオプションを使用する際は、個人情報や金融情報を扱うプラットフォームでは使用しないこと、さらに2要素認証(2FA)を有効にすることで、アカウントのセキュリティを強化することが推奨されます。
このような脆弱性の発見と修正は、サイバーセキュリティの重要性を再認識させるとともに、ユーザー自身がセキュリティ意識を高め、自分のアカウントを守るための措置を講じることの重要性を示しています。また、バウンティハンターによるこのような活動は、プラットフォームをより安全な場所にするための重要な役割を果たしています。
from Facebook bug could have allowed attacker to take over accounts.
