Facebook的SDK漏洞威胁数以百万计的手机用户账户

来自MetaIntell智能手机领导风险管理(MRM)的安全研究人员,发现了一个最新版的Facebook的SDK中的漏洞,该漏洞会暴露数以百万计的Facebook的用户的身份认证令牌,听起来还是很吓人的。

[[116195]]

Facebook的对于Android和IOS的SDK提供了使用身份验证登录Facebook,读取和写入到Facebook API等许多简易方式。

Facebook的OAuth认证或说“以Facebook账户”登录的机制,提供了一种无需用户输入用户名或者密码就能在第三方app上直接登录的个性化而安全的方式。Faceook的SDK通过实现OAuth2.0的用户代理流程来获取应用所需要的访问令牌,从而实现利用Facebook的API来实现读取,修改或写入用户的Facebook数据的功能。

访问未加密的访问令牌

用户的私人的秘密访问令牌本应当永远不会与任何人共享。但令人惊奇的是,研究人员发现,Facebook的SDK库直接把令牌以明文格式存储在设备上,任何人都能轻易地获取Android或者IOS的加密令牌,而完全不需要root或者越狱,我和我的小伙伴都惊呆了!

“在一台IOS设备上,插上USB之后,仅仅需要5秒钟,就可以通过juice jacking 攻击获取到访问令牌。”MetaIntell的首席架构师Chilik Tamir告诉记者。

来自其他程序的威胁

他还说,除此之外,我们手机上的任何被赋予读取文件系统权限的app都能够远程访问或者偷取用户的Facebook访问令牌。

研究人员戏称为漏洞“社会登录会话劫持”。该漏洞一旦被利用,便可以让攻击者通过访问令牌和会话劫持的方法来访问受害者的Facebook帐户信息。

视频演示

研究人员在youtube上发布了一段视频,该视频展示了研究人员是如何通过IOS版的Viber利用这个漏洞的。(很明显,Viber使用了Facebook的OAuth认证登录方式)

演示视频:http://www.youtube.com/watch?v=1fylUF_YUqk //需要科学

Chilik Tamir 说,所有使用Facebook的OAuth认证方式登录的iOS和Android应用程序都非常容易受到这种攻击。

研究人员在blog中写道,“MetaIntell已确定的前100名免费iOS应用程序中,有71个是使用Facebook

SDK的,而这些app的下载量已经达到了12亿,影响范围相当广。而在排名前100位的Android应用程序中,有31个app利用Facebook的SDK,下载次数则超过了1000亿。”

Facebook的安全团队的回应

MetaIntell团队已经通知了Facebook的安全团队有关该漏洞的信息,但貌似Facebook没有修复SDK的打算。

收到MetalIntell的漏洞报告之后,Facebook回应到:“我跟进了我们的平台开发团队,看看他们是否会在这方面作出任何变更:-在Android方面,我们已经得出结论,我们不会做任何改变:我们认为安卓系统提供的安全等级是足够高的。-另一方面,我们的IOS团队正在探索以最安全方式将访问令牌存储到通过密钥方可访问的储存位置的可能性。“

我们应当怎么应对?

移动应用程序的用户应尽量不要使用移动应用程序中的“通过Facebook登录”选项,同时禁止应用程序使用他们的Facebook登录。

对于应用程序开发人员,我们建议将用户的访问令牌从本地存储转移到有安全加密传输的线上加密存储空间中。

文章来源网络,作者:管理,如若转载,请注明出处:https://shuyeidc.com/wp/121345.html<

(0)
管理的头像管理
上一篇2025-02-21 20:17
下一篇 2025-02-21 20:18

相关推荐

  • 云服务器和云虚拟主机怎么选?云服务器和虚拟主机区别

    云服务器适合业务增长快、需弹性扩展的场景,而云虚拟主机适合预算有限、技术门槛低的小型静态网站或测试环境,二者核心区别在于资源独享性与运维复杂度,核心差异解析:从底层架构到使用体验很多人容易混淆这两者,觉得它们都是“买空间建站”,它们的底层逻辑完全不同,云服务器(ECS)就像是你租了一整栋别墅,水电网络独立,你想……

    2026-06-29
    0
  • 赣州智慧旅游招聘是真的吗?赣州旅游人才招聘信息

    中级岗位(3-5年经验)月薪范围通常在6000-10000元,这类岗位需要独立负责项目模块,如独立运营一个抖音账号,或维护一个景区小程序的功能迭代,具备成功案例的候选人议价能力较强,高级岗位(5年以上经验)月薪范围通常在10000-20000元,部分核心管理岗可达更高,这类人才需要具备战略规划能力,如制定整个景……

    2026-06-29
    0
  • 赣州智能物联网车位锁如何管理?智能车位锁管理系统多少钱

    赣州智能物联网车位锁管理的核心在于通过云端平台实现远程控锁、状态实时监控及自动计费,彻底解决传统车位“被占难管”与“找位难”的痛点,在赣州这样的城市,随着机动车保有量的持续增长,老旧小区、商业综合体以及私人固定车位的资源矛盾日益凸显,传统的机械地锁或简易遥控锁,不仅操作繁琐,更无法实现数据化管理,引入智能物联网……

    2026-06-29
    0
  • 赣州智能消防栓好用吗,智能消防栓多少钱一个

    赣州智能消防栓通过物联网技术实现实时监测与远程报警,能显著降低火灾响应时间并提升城市消防安全管理水平,是目前智慧城市建设中不可或缺的基础设施,赣州智能消防栓的核心价值与应用场景传统消防栓往往存在“看不见、摸不着、用不了”的痛点,在赣州这样地形复杂、老城区与新城区并存的区域,传统设施的管理难度极大,智能消防栓的出……

    2026-06-29
    0
  • 云服务器和物理机到底有啥区别?

    云服务器本质上是虚拟化资源池中的弹性实例,而传统物理服务器是独占的硬件实体,前者胜在弹性与运维便捷,后者强在物理隔离与性能稳定,具体选择取决于业务对成本、扩展性及安全合规的权衡,很多人初次接触服务器时,容易把“云服务器”和“传统物理服务器”混为一谈,觉得它们都是用来跑网站或存数据的盒子,这两者的底层逻辑完全不同……

    2026-06-29
    0

发表回复

您的邮箱地址不会被公开。必填项已用 * 标注