كيفية اختراق حسابات الفايسبوك ؟ فقط اجعل اهدافك يفتحو رابط ...



إنه 2019 ، والنقر فقط على عنوان URL تم تصميمه خصيصًا قد سمح للمهاجم باختراق حسابك على Facebook دون أي تفاعل إضافي.

اكتشف باحث أمني نقطة ضعف مهمة في التزوير عبر المواقع (CSRF) في النظام الأساسي الأكثر شعبية على الشبكات الاجتماعية والتي كان من الممكن السماح للمهاجمين باختطاف حسابات Facebook من خلال خداع المستخدمين المستهدفين ببساطة بالنقر فوق الارتباط.
اكتشف الباحث ، الذي ينتمي إلى الاسم المستعار على الإنترنت "Samm0uda" ، الضعف بعد أن اكتشف نقطة نهائية معيبة (facebook.com/comet/dialog_DONOTUSE/) كان من الممكن استغلالها لتجاوز حماية CSRF وحساب الضحية.

كل ما يحتاج إليه المهاجم هو خداع الضحايا للنقر على عنوان URL خاص بفيسبوك تم تصميمه خصيصًا ، كما هو مذكور في مدونته ، والمصممة لتنفيذ إجراءات متنوعة مثل نشر أي شيء على جدوله الزمني ، أو تغيير صورة ملفه الشخصي أو حذفها ، وحتى خداع المستخدمين لحذفهم حسابات الفيسبوك كاملة.

1 انقر فوق استغلال للاستيلاء على حسابات فيس بوك بالكامل

إن السيطرة الكاملة على حسابات الضحايا أو خداعهم لحذف حسابهم على Facebook بالكامل يتطلب بعض الجهود الإضافية من جانب المهاجم ، حيث يحتاج الضحايا إلى إدخال كلمة المرور الخاصة بهم قبل حذف الحساب.

للقيام بذلك ، قال الباحث إنه سيطلب من الضحايا زيارة اثنين من عناوين URL منفصلة ، واحدة لإضافة البريد الإلكتروني أو رقم الهاتف والآخر لتأكيدها.

"لأن" نقاط النهاية "العادية" المستخدمة لإضافة رسائل البريد الإلكتروني أو أرقام الهواتف لا تحتوي على معلمة "تالية" لإعادة توجيه المستخدم بعد طلب ناجح ، "يقول الباحث.

ومع ذلك ، فإن الباحث لا يزال يجعل الاستيلاء على الحساب الكامل ممكنًا باستخدام عنوان URL واحد عن طريق العثور على نقاط النهاية حيث توجد المعلمة "التالية" وتفويض تطبيق ضار نيابةً عن الضحايا والحصول على الرمز المميز للوصول إلى Facebook.

من خلال الوصول إلى رموز المصادقة الخاصة بالضحايا ، يضيف الاستغلال تلقائيًا عنوان البريد الإلكتروني الذي يتحكم فيه المهاجم إلى حسابه ، مما يسمح للمهاجم بالسيطرة على الحسابات بالكامل ببساطة عن طريق إعادة تعيين كلمات المرور الخاصة به وإغلاق المستخدمين الشرعيين خارج حساباتهم على Facebook.

على الرغم من أن عملية الاستيلاء الكاملة على حساب Facebook تضمنت خطوات متعددة ، إلا أن الباحث قال إن الاستفادة الكاملة بنقرة واحدة كانت ستسمح لأي مستخدم خبيث باختطاف حسابك على فيسبوك "في غمضة عين".

يمكن التخفيف من مثل هذه الهجمات الاستيلاء على الحساب إذا قمت بتمكين المصادقة الثنائية لحساب Facebook الخاص بك ، ومنع المتسللين من تسجيل الدخول إلى حساباتك حتى أو ما لم يتحققوا من رمز المرور المكون من 6 أرقام المرسلة إلى جهازك المحمول.

ومع ذلك ، فإن أي تخفيف قد لا يمنع المتسللين من تنفيذ بعض الإجراءات نيابةً عنك ، وذلك من خلال الاستفادة من هذه الثغرة الأمنية ، مثل تغيير صور ملفاتك الشخصية أو ألبوماتك أو حذفها أو نشر أي شيء على مخططك الزمني.

أفاد Samm0uda عن الضعف مع تفاصيل استغلاله على Facebook في 26 يناير. أقرت شركة الإعلام الاجتماعي العملاق بهذه القضية وتصدت لها في 31 يناير ، مما يكافئ الباحث بمبلغ 25،000 دولار كجزء من برنامج مكافآت علة Facebook.


الإبتساماتإخفاء