Facebook Connectの脆弱性は修正できない、または修正されない:研究者

セキュリティ研究者によると、Facebook Connectに影響を及ぼす2つの脆弱性を修正しようとしていないか、または修正できないとしている。

自己記述されたウェブセキュリティエバンジェリストのEgor Homakovは、自分のブログにある2つの脆弱性について説明しています。その1つ目は、攻撃者のFacebookプロファイルと被害者が使用しようとしているサービスを結びつけることです。

Homakovによると、攻撃者はインラインフレームを読み込んで、自分のコントロール下にあるアカウントのユーザー名とパスワードをFacebookに自動的に送信することができます。これは比較的簡単なプロセスで、数行のインラインJavaScriptを使用しますが、攻撃者のアカウントの資格情報を公開します。

成功すると、ユーザーは知らずに他人のアカウントにログインすることになります。そうすることの意味には、このアカウントと情報を共有すること、それが他人によって制御されていることを知らないことなどが含まれます。

「あなたのFacebookをメインアカウントに接続してより高速にログインする機能を持つすべてのウェブサイトは、アカウントのハイジャックに対して脆弱です」とホマコフ氏は記しています。

彼によると、この問題を解決するには、ユーザーが接続しようとしているサイトを最初に確認するトークンが必要です。

FacebookはHomakovの懸念事項にEメールで答えたが、修正案は出されていないと指摘した。

「これは私たちがしばらく認識してきた分野の1つですが、体系的な解決策は実際にはありません」とホモマフ氏の返信メールは述べています。

米連邦捜査局(FBI)はCrackasのメンバーを逮捕し、米国政府の役人をハッキングした姿勢を示している;セキュリティ、Wordpressはユーザーに重大なセキュリティホールを修正するように今更新するよう強く促す;セキュリティ、ホワイトハウスは連邦最高情報セキュリティ責任者政府の監視による緊急対応

Facebookは、クロスサイトリクエストフォージェリ(CSRF)保護トークンを実装するためのHomakovの提案が実用的でない理由についても説明しました。

ログインを強制するCSRFの保護は、これを可能にするすべての試みが膨大な数の拡張、統合、およびその他の嫌疑を壊してしまったため、ここで何年も前から始まっていないものです。私はそれが突然の変化を正当化するためにそれは比較的深刻な問題を取るだろうと思う。

2番目の脆弱性は、Facebookに接続しているアプリケーションのアクセストークンを公開しています。

ユーザーがFacebookに接続してログインするアプリケーションを承認すると、アクセストークンが要求の承認を保証するために使用されます。これらのトークンが盗まれた場合、攻撃者は攻撃しているアプリケーションと同じ権限を持ちます。場合によっては、これにはユーザーのタイムラインへの投稿、機密情報の表示などが含まれます。

Homakovは、この脆弱性をサポートしているほとんどのリダイレクトがオンラインでどのように動作するかについて、重要な点を指摘しています。

たとえば、Webサイトのリダイレクタ、ZD.Netはwebsite.comに移動します。しかし、リダイレクトがうまくいかないという点では、Webページのセクションをナビゲートするためによく使われる#がURLに付加されていると、その追加情報も最終的なリダイレクト先に転送されます。

つまり、http://ZD.Net#randomInformationは、最終的にユーザーをhttp://www.elaptopcomputer.com#randomInformationに送信します。

ログインプロセスのためにリダイレクトの重要性が重要です。 FacebookのAPIには、アプリケーションID、リダイレクトURI、およびオプションで応答タイプが必要です。応答タイプが “トークン”に設定されている場合、ユーザーがログインすると、ブラウザはその末尾に追加されたアクセストークンで指定されたリダイレクトURLにリダイレクトされます。

誰でもリダイレクトURLを変更できるとすれば、アプリケーション開発者はアプリケーションの設定でどのURIが許可されているかを指定する必要があります。これは、トークンがURLに追加されても、そのトークンがそのドメインに残っていることを保証するためのものです。

ただし、アプリケーションのホワイトリストにドメイン名、サブドメイン、およびドメイン名が含まれているURLのみが含まれている場合は、ログイン直後にリダイレクトする受け入れ可能な場所とみなされます。つまり、ドメインにリダイレクタが存在する場合は、リダイレクト先も受け入れ可能なリダイレクトURLと見なされます。

その後、攻撃者は、ドメイン上のリダイレクタ(ホワイトリストに登録されている)を指し示すリダイレクトURLを提供することができますが、これは自分のサーバーを指します。このログイン要求は、フィッシング詐欺メールなど、さまざまな方法で犠牲者に提供することができます。この時点で、アクセストークンはリダイレクタを介して攻撃者のサーバーに転送され、細工されたページ上のJavaScriptを使用してアクセストークンを盗むことができます。理論的には、攻撃者は何も起こっていないという錯覚を提供するために、要求を元のエンドポイントにリダイレクトすることが可能です。

Webサイトは、この方法で取得されたアクセストークンが、アプリケーションにアクセス権が付与されているのと同じレベルのユーザー情報を公開することを確認しました。 Homakovは、ユーザーがFacebookの資格情報を持っているかのように、リンクされたサービスにログインすることも可能であると主張しています。

Facebookのセキュリティエンジニアは、ハッカーのニュースで、アプリケーションのホワイトリストにどのURLをリダイレクトできるかを開発者が制限しなければならないと答えました。

Facebookのコントロールを超えたオープンリダイレクトがこの脆弱性の中心にあるという事実と相まって、Facebookが実施した対策を考えれば、ソーシャルネットワークは非難される可能性があります。しかし、Homakovは、リダイレクトを取り除くことは開発者にとって難しいことだと指摘しています。

Soundcloud、Songkick、FoursquareなどのFacebookクライアントもOAuthプロバイダと同じ時間帯にいるため、サードパーティのウェブサイトにリダイレクトする必要があります。 「サブ」クライアントにリダイレクトされるたびに、Facebookのトークンが漏洩する脅威にもなります。

FBIは、米国の政府関係者をハッキングしたとの態度で、Crackasのメンバーを逮捕した

WordPressは、重要なセキュリティホールを修正するために今アップデートするようユーザに促す

ホワイトハウス、連邦最高情報セキュリティ責任者を任命

国防総省のサイバー緊急対応を批判したペンタゴン