圖片來源: 

Facebook

在臺灣時間9月28日深夜,傳出許多用戶的臉書帳戶遭到強制登出,探究其背後的原因,是臉書發現自家系統的漏洞後,所採取的因應措施,該公司表示,總計大約有9千萬名用戶,受到這項弱點影響。隔日凌晨,該公司便發出公告,初步說明事件的成因,以及目前處理的情形。

隨後,臉書也召開線上記者會,接受採訪,並表示他們已經通報FBI和愛爾蘭資料保護協會(Irish Data Protection Commission),同時,該公司也承諾,會持續更新他們的調查結果。

臉書認為,這次發現的系統漏洞,涉及了網站裡3種系統的設計瑕疪,分別是提供使用者確認個人首頁(Profile)內容的檢視角度(View As)、祝賀朋友生日的影片上傳工具,以及讓用戶能在首次成功登入系統後,後續存取不須再次輸入密碼的Token派送機制等。至於是否出現實際攻擊的事件,導致用戶的帳號遭到濫用,則有待後續調查。

漏洞橫跨多項功能模組

臉書表示,這個能用來發動攻擊的漏洞,是由3項功能的弱點結合而成,包含了可確認隱私設定的檢視角度、新版的影片上傳工具,以及能夠讓用戶日後不需重新輸入帳號密碼的Token派發機制等。

該公司提供檢視角度功能的用意,其實是想要讓使用者能夠確認,其他用戶瀏覽自己個人首頁的樣貌,避免不小心公開不想透露的個人資訊,因此,這項功能理應只能唯讀,不能修改首頁資料,或是張貼內容。然而,臉書指出,他們在檢視角度頁面中,內嵌了能讓使用者向朋友表達生日祝賀,而提供張貼內容的編輯器,導致用戶能在上述的頁面中,能夠上傳影片。

所謂的檢視角度(View As)功能,便是在使用者修改了個人臉書檔案頁面之後,提供預覽模式,確認其他人只能看到自己想要公開的資訊。使用者原本可在個人頁面右側活動記錄旁的進階功能中,找到檢視角度切換的功能,自臉書公開說明漏洞之後,該功能已經移除,選單只出現如圖中的動態時報設定。

臉書表示,另一個重要的關鍵因素,則是前述內嵌在檢視角度頁面的影片上傳工具,就是該公司在去年7月推出的版本,它會產生臉書行動版App用戶可持續存取的Token。這種Token的用途,本是用於確認使用者身分,免於再次於相同裝置上的瀏覽器或App中,存取臉書時,需重複輸入密碼的不便。

至於第3個形成該漏洞的原因,臉書表示,前述該影片上傳工具產生的存取Token,並非是針對使用者自己的臉書帳號,而是正在追蹤用戶的存取權限。

該公司指出,結合上述的3種功能設計瑕疪,便成為駭客能夠利用的漏洞。也就是說,當使用者透過檢視角度模式瀏覽個人首頁時,由於臉書的程式碼中,保留了朋友恭賀生日快樂的編輯器,其中的影片上傳模組,就會產生不應該出現的存取Token,攻擊者只要從頁面的HTML程式碼就能取得,並登入另一個臉書使用者的帳號。而且,攻擊者從前述取得的Token中分析,就能反覆利用相同方式,控制更多用戶的臉書帳號。

雖然,臉書表示漏洞已經修復,然而,基於保護用戶的理由,該公司除了將已經確認會受到波及的5千萬名使用者登出,對於潛在可能受害的4千萬名使用者,他們也計畫採取預防性措施,陸續重設這些用戶的Token,因此,總計約有9千萬名使用者,先後會遭到系統強制登出,並且必須手動輸入密碼才能再次登入臉書。同時,在調查的期間,臉書暫時關閉檢視角度的功能,以免前述的漏洞再度遭到濫用。

不過,臉書也強調,並非使用者密碼遭到竊取,因此他們透過強制登出的方式,更換用戶裝置存取臉書平臺的Token,要求這些受到影響的使用者重新登入。換言之,以往使用者遇到網站系統資料外洩時,許多資安專家會建議立即更換密碼,但這樣的做法,似乎難以對於此次事件達到自保的效果。

實際影響範圍難以評估,恐怕遠超過預期

這次由臉書自行揭露的漏洞,該公司不只公開說明弱點的成因與處理的情況,甚至,他們更進一步,舉辦2場線上記者會,並將媒體透過電話聯合採訪的內容,一併做為公告的附件提供。對於實際影響的情況,該公司表示,由於才開始發動調查,他們尚未接獲任何實際帳號因此濫用的案例通報。

在網站上的公告中,臉書除了提供章節的快速連結,也將2次記者聯合電話採訪的內容,以儲存為PDF文件格式的逐字稿公開發布。

有別於以往揭露的事件,這次的漏洞橫跨3種模組,駭客可能無法實際利用其中單一的應用系統設計瑕疪,然而,結合多個弱點之後,就成為可用來攻擊的滲透之處,這種情況不只業者難以察覺,可能也導致想要了解實際影響的範圍,更加不易執行。因此,是否有使用者因這起事件受害,恐怕也要等待日後該公司進行深入調查之後,才能得知。


熱門新聞

Advertisement