ISAC Cambodia (InfoSec)
GeneralSecurity NewsVulnerability

Facebook Vulnerabilities Allow Hackers to Steal Access Tokens and Hijack Account

មានអ្នកប្រើប្រាស់ច្រើនជាង ១០០លាននាក់ដែលប្រើប្រាស់កម្មវិធី Facebook Mobile។ Facebook បានធ្វើការជួសជុល កំហុសឆ្គងជាច្រើន នៅក្នុងកម្មវីធីរបស់ខ្លួនដែលដំណើរការនៅក្នុង Android ដែលអាចអនុញ្ញាតឲ្យ hackers លួចយកនូវ access tokens រួចមកលួចចូលទៅក្នុង account របស់អ្នក។

អ្នកស្រាវជ្រាវផ្នែកសន្តិសុខព៏័ត៌មានជនជាតិអេហ្សីបឈ្មោះថា Mohamed Ramada ដែលធ្វើការជាមួយនឹងក្រុមហ៊ុន Attack Secure បានបញ្ចេញនូវចំនុចខ្សោយមួយចំនួន ទាក់ទងទៅនឹង Facebook Main App និង Facebook Messenger និង Facebook Page’s Manager ដំណើរការនៅក្នុងប្រព័ន្ធប្រតិបត្តិការ Android។

vul-facebook-01

User’s Access Token គឺជាកូនសោរមួយសម្រាប់ធ្វើការភ្ជាប់ទៅកាន់គណនី Facebook ណាមួយ ហើយបើយោងទៅតាមគាត់និយាយ គឺអ្នកវាយប្រហារគ្រាន់តែផ្ញើរសារដែលមានភ្ជាប់ជាមួយនូវឯកសារ ប្រភេទជា video, documents និង pictures⁣ ជាដើម។ នៅពលដែលជនរងគ្រោះ ចុចទៅលើឯកសារនោះដើម្បីទាញយក នោះ access_token របស់ជនរងគ្រោះនោះនឹងត្រូវទាញយកទៅរក្សាទុកក្នុង Android’s log messges ដែលហៅថា logcat ដែលអនុញ្ញាតឲ្យកម្មវិធិដទៃទៀតទាញយកនូវ access token នោះ រួចបន្ទាប់មកធ្វើការជ្រៀតចូល (hijack) គណនីនោះតែម្តង។

vul-facebook-02

ចំនុចខ្សោយទីពីរគឺទាក់ទងទៅនឹង Facebook Page Manager នៅក្នុង Android ដែលស្រដៀងទៅនឹងចំនុចខ្សោយ ខាងលើនោះដែរ គឺត្រុូវបានរាយការណ័៍ដោយលោក Ramadan។ លោកបាននិយាយថា “ដើម្បីវាយប្រហារលើចំនុចខ្សោយនេះ អ្នកត្រូវតែ log-in ទៅក្នុង Facebook Pages Manager ហើយ access token នឹងត្រូវបានជ្រាបចេញទៅកាន់រាល់កម្មវិធីផ្សេងៗទៀត ដោយមិនត្រូវការ download យកអ្វីទាំងអស់ ពីនណាម្នាក់ឡើយ”។

លោកក៏បានបន្ថែមទៀតថា Facebook Access_Tokens គឺមិនមានពេលផុតកំណត់ឡើយ ហេតុដូច្នេះហើយអ្នកប្រើប្រាស់គួរតែ ធ្វើបច្ចុប្បន្នភាព កម្មវិធី Facebook របស់ខ្លួនដើម្បីជួសជុលកំហុសឆ្គងទាំងនោះ។

ព័ត៌មានបន្ថែម៖

http://attack-secure.com/2013/10/all-your-facebook-access-tokens-are-belong-to-us/

Show More
Apsara Media Services (AMS)

Phannarith

Mr. OU Phannarith is one of the well-known cybersecurity experts in Cambodia and the region. He is the founder of the first leading information security website (www.secudemy.com) in Cambodia. He has been invited to present in global conferences, forums, and seminars and he was awarded in Information Security Leadership Achievements (ISLA) in 2016 by (ISC)2 and in December 2012 as one of the top 10 Chief Information Security Officers (CISO) in ASEAN by the International Data Group (IDG). Mr. OU has been the Professor specializing in Cybersecurity.

Related Articles

Back to top button