Un chercheur en sécurité a révélé une deuxième tranche de bogues dans Facebook Canvas qui, comme leurs prédécesseurs, présentent un risque de prise de contrôle de compte.

Le chercheur en sécurité Youssef Sammouda a gagné 126 000 $ en primes de bogue l’année dernière pour avoir découvert un ensemble de trois failles dans la technologie Canvas de Facebook, qui est utilisée pour intégrer des jeux en ligne et des applications interactives dans sa plate-forme.

Sammouda a détaillé ces questions dans un article de blog techniquepublié en septembre dernier.

Toile revisitée

Le chercheur en sécurité a récemment décidé de réexaminer le problème, ce qui a conduit à la découverte d’un nouvel ensemble de problèmes dans l’implémentation OAuth de Facebook.

Sammouda a dit La gorgée quotidienne: « Meta n’a pas réussi à s’assurer que ce soit dans les applications côté client ou côté serveur que le site Web du jeu ne puisse demander qu’un jeton d’accès pour son application et non une application propriétaire comme Instagram.

CONSEILLÉ Un pirate adolescent remporte une prime de bogue de 4 500 $ pour une faille Facebook qui a permis aux attaquants de démasquer les administrateurs de la page

Le chercheur a poursuivi : « Il n’a pas non plus réussi à s’assurer que l’API Facebook générée jeton d’accès n’atteindrait que les domaines/sites Web qui ont été ajoutés par l’application propriétaire de Facebook.

Non résolus, ces problèmes auraient permis à un site Web attaquant de voler une première partie jeton d’accès et prendre en charge un compte Facebook et tout autre compte qui y est lié, comme pour Oculus ou Instagram.

Correction partielle

Les premières tentatives de Facebook pour résoudre le problème l’année dernière se sont révélées déficientes. Plus précisément, Sammouda a découvert trois nouvelles failles : un problème de conditions de concurrence, des contournements du correctif précédent et un problème impliquant des paramètres chiffrés.

Heureusement, en réponse aux critiques de Sammouda, Facebook a resserré ses contrôles et publié un correctif plus complet.

Sammouda a expliqué: «Cela a été résolu par Meta en s’assurant que les paramètres transmis dans la demande de point de terminaison OAuth du site Web du jeu étaient sur liste blanche et également en appliquant toujours la valeur de app_id et identité du client paramètres passés pour être toujours l’ID de l’application de jeu qui fait la demande.

Un suivi article de blog technique – publié par Sammouda la semaine dernière – explore les lacunes de la tentative initiale de Facebook pour résoudre le problème. Le travail de suivi de Sammouda lui a valu un salaire supplémentaire de 98 000 $.

« Enfin, Meta a décidé d’appliquer le correctif évident et de limiter le contrôle que nous avons sur la demande OAuth. Une liste blanche de paramètres autorisés a été ajoutée et l’application filtrerait tous les autres paramètres, bien sûr avec app_id et identité du client toujours réglé sur le courant app_id», a conclu Sammouda.

La gorgée quotidienne a invité Facebook/Meta à commenter les dernières découvertes de Sammouda. Pas encore de mot, mais nous mettrons à jour cette histoire au fur et à mesure que de plus amples informations seront disponibles.