قام الباحث الأمني الهندي Laxman Muthiyah، باكتشاف الثغرة الثالثة له على التوالي، في موقع التواصل الاجتماعي الشهير فيسبوك، والذي سجل رقماً جديداً مؤخراً لنسبة المستخدمين اليوميين والتي وصلت مليار مستخدم يومياً.

في بداية هذا العام، قام Laxman باكتشاف ثغرة خطيرة في Facebook Graph، هذه الثغرة مكنته من مشاهدة ومسح ألبومات الصور الموجودة على فيسبوك دون الحاجة للقيام بعملية مصادقة Authentication.

وبعد مرور شهر فقط، اكتشف Laxman ثغرة أخرى، وكانت الثغرة موجودة في ميزة الـ Facebook Photo Sync feature، والتي تقوم برفع الصور من جهاز الموبايل الخاص بك إلى الفيسبوك كألبوم خاص بطريقة تلقائية، حيث تكون غير متاحة الرؤيا لأي من أصدقائك.

أياً كان، الثغرة التي تم اكتشافها بواسطة Laxman تسمح لأي تطبيق الوصول إلى صورك الشخصية وسرقتها من ألبوم Facebook Photo Sync.


اخترق أي صفحة فيسبوك

الآن، الثغرة الأخير في قائمة اكتشافات Laxman تسمح للمهاجمين بالتحكم والسيطرة على صفحات الفيسبوك الخاصة بك.

هذه المرة وجد Laxman مشكلة في Facebook business pages “الصفحات التجارية/ صفحات الأعمال”، الغير مخصصة لحساب مستخدم واحد، والتي تدار بواسطة العديد من المستخدمين.

واكتشف Laxman طريقة تمكنه من جعل تطبيقات فيسبوك غير رسمية تسيطر على صفحات الفيس التجارية، مع صلاحيات محدودة، مما يوجد احتمالية فقدان الضحية الوصول لصفحته كمدير.

تطبيقات الفيسبوك غير الرسمية لديها القدرة أيضاً على تنفيذ جميع العمليات، بما فيها القيام بعمل منشور جديد، نشر صور، والمهام الأخرى، لكن وبما أن هذه التطبيقات تعد تطبيقات غير رسمية فإن فيسبوك لا تسمح بالقيام بإضافة أو تعديل أي من الأدوار الإدارية والإشرافية عبر هذه التطبيقات.

فيسبوك يسمح لمدير الصفحة بتعيين وتوزيع مهام على أشخاص مختلفة في الصفحة من خلال manage_pages، أما بالنسبة للتطبيقات الأخرى فإنها تحتاج لإذن وصول.

بغض النظر، قال Laxman أن المهاجم يستطيع استخدام Requests بسيطة، وذلك من أجل أن ينصب نفسه مديراً لأحد الصفحات المشهورة على فيسبوك.

الـ Request يبدو هكذا:ـ

POST /PGID/userpermissions HTTP/1.1
Host: graph.facebook.com
Content-Length: 245
role=MANAGER&user=X&business=B&access_token=AAAA…

وهنا الـ PGID تعبر عن اسم الصفحة B، ومن ثم يمكنك تغيير المستخدم X إلى المستخدم a للحصول على الصلاحيات الإدارية، مما يعني أن هذا التغيير البسيط في الباراميتر الخاصة بالطلب يمكن أن يسمح للمهاجم بالحصول على صلاحيات كاملة على صفحة الفيسبوك.


قدم Laxman  فيديو يشرح فيه كيفية عمل الهجوم

قام Laxman بإبلاغ الفريق الأمني الخاص بفيسبوك، وعلى الفور تلقى مكافأة مالية وقدرها 2500$ كجزء من برنامج المكافآت الخاص بفيسبوك.