Вразливості у Facebook розкривали списки друзів та платіжні дані
Уразливості у Facebook для Android дозволяли отримати списки друзів та платіжні дані користувачів.
Дослідники безпеки виявили у додатку Facebook для Android вразливості, що дозволяють отримати доступ до списку друзів користувачів соцмережі та дізнатися про їхні платіжні дані.
У Facebook є кінцева точка GraphQL, яка використовується лише деякими програмами від самих розробників Facebook. Як правило, для запиту GraphQL необхідний токен доступу (access_token) користувача або сторінки.
«Я вирішив спробувати використовувати клієнтський токен програми Facebook для Android, але кінцева точка повернула повідомлення про помилку. Я не надсилав постійний запит, однак у повідомленні повідомлялося, що дозволено лише постійні запити з білого списку. Оскільки я збираю постійні GraphQL-запити Facebook, я вирішив запустити кілька з них і подивитися, чи є вони у білому списку», – повідомив дослідник.
Досліднику не вдалося знайти запит із білого списку – щоразу з'являлося те саме повідомлення про помилку. Тоді він згадав про інший спосіб відправлення постійних запитів, що передбачає використання doc_id як ID запиту. Повідомлення про помилку більше не з'являлося, але практично щоразу відповідь містила публічно доступні дані. Проте, на запит CSPlaygroundGraphQLFriendsQuery дослідник отримав відповідь зі списком друзів, незважаючи на встановлені користувачем налаштування конфіденційності.
Дослідник повідомив Facebook про проблему на початку жовтня минулого року, і компанія незабаром виправила її.
Як уже згадувалося, дослідник також виявив уразливість, що розкривала платіжні дані будь-якого користувача Facebook. Проблема у Graph API дозволяла за допомогою поля payment_modules_options отримати такі дані, як перші шість цифр номера банківської картки, що вказують на банк-емітент, останні чотири цифри, місяць та рік закінчення терміну дії картки, тип картки, ім'я власника картки, індекс та країну.
Дослідник виявив вразливість, перехопивши всі запити, що надсилаються додатком Facebook для Android у процесі реєстрації та авторизації. Дослідник повідомив про неї Facebook 23 лютого поточного року, і через 13 годину проблему було виправлено.
