安全研究人員Dan Melamed近日發現了一個Facebook平臺的嚴重漏洞，可以允許攻擊者完全控制任何賬號。

這個漏洞之所以被認為嚴重是因為它允許黑客悄悄的黑掉任何Facebook賬戶。Dan Melamed在他的博客中發表了這個漏洞，他指出黑客只要欺騙受害人訪問一段惡意exploit代碼，即可以重置其facebook密碼。

這個缺陷影響facebook ”claim email address”功能，當一個用戶試圖增加一個已在facebook注冊過的郵箱，他會有一個選項”claim it”，當用戶claim一個email地址，facebook不會檢查這個請求來源。

當一個用戶試圖發送請求至一個@hotmail.com郵箱時，他會請求以下鏈接：

https://www.facebook.com/support/openid/proxy_hotmail.php?appdata[fbid]
=AQ3Tcly2XEfbzuCqyhZXfb8_hYHTnHPPd-CDsvdrLzDnWLpsKTMcaXtIzV0qywEwbPs

研究人員發現參數appdata[fbid]是加密后的郵件地址。Dan使用加密后的郵件地址funnyluv196@hotmail.com來進行概念性驗證。鏈接會重定向用戶到Hotmail的登錄頁面。

“你必須使用能夠和加密參數匹配的郵件地址登陸賬戶。一旦登陸后，你會收到最后一個鏈接，格式像下面這樣。”

https://www.facebook.com/support/openid/accept_hotmail.php?appdata=
%7B%22fbid%22%3A%22AQ3Tcly2XEfbzuCqyhZXfb8_hYHTnHPPd-CDsvdrLzDnWLps
KTMcaXtIzV0qywEwbPs%22%7D&code=a6893043-cf19-942b-c686-1aadb8b21026 ”

網頁源碼顯示郵件流程成功了。

SHAPE \* MERGEFORMAT

Dan Melamed說利用的方法很簡單，而且能夠成功取決于下面兩個重要的條件：

1.鏈接會在三個小時左右過期，使得黑客可以有時間來利用它。

2.該鏈接可以被任意Facebook賬戶瀏覽，因為沒有對誰在進行請求做檢查。

為了讓受害者中招，黑客只需要以圖片或者iframe的方式在網頁中插入一個惡意地址(http://evilsite.com/evilpage.html)。

SHAPE \* MERGEFORMAT

“一旦點擊了，郵件地址(在這個案例下是：funnyluv196@hotmail.com)會立刻被加到他們的Facebook賬戶中。受害者沒有接到任何郵件地址添加的通知。接下來黑客就可以用這個新添加的郵件地址重置受害者賬戶的密碼了，從而能夠完全控制他們的賬戶。”

這個漏洞已經被Facebook安全團隊確認修復，幸運的是該團隊對漏洞的響應都非常及時，包括Facebook最近的幾個漏洞。不同類型的黑客對Facebook這樣流行的社交平臺垂涎欲滴，因此滋生了各種各樣的針對它的網絡犯罪。