La integración de Facebook con los cascos de realidad virtual Oculus podrían haber abierto las puertas para que los atacantes malintencionados secuestraran cuentas mediante la explotación de esta última si el gigante de las redes sociales no hubiera solucionado las vulnerabilidades.
Oculus, mejor conocido por sus cascos Oculus Rift de realidad virtual (VR), fue fundado en 2012. En marzo de 2014, Facebook anunció que adquiriría Oculus VR, la operación se completó en julio de 2014. En agosto de 2014, Facebook incluyó Oculus Rift en su programa de recompensa de errores para hackers “white hat” y ofrecía dinero a los investigadores por informar de errores. Desde entonces, se han encontrado varias vulnerabilidades en los servicios de Oculus, que incluyen una serie de fallas que le valieron a un investigador $25,000.
En octubre del año pasado, Josip Franjkovic, un consultor de seguridad web, decidió examinar la aplicación Oculus para Windows, que permite a los usuarios conectar sus cuentas de Facebook para una experiencia más social mediante el uso de la aplicación nativa Windows Oculus y navegadores.
En su investigación, Franjkovic demostró cómo un atacante podría secuestrar cuentas de Facebook utilizando consultas GraphQL especialmente diseñadas para conectar la cuenta de Facebook de la víctima con la cuenta Oculus del atacante y obtener el access_token de la víctima, que también tiene acceso al punto final GraphQL de Facebook. Mediante el uso de consultas GraphQL especialmente diseñadas, el atacante puede tomar el control de la cuenta de Facebook de la víctima, cambiar el número de teléfono y luego restablecer la contraseña de la cuenta.
Franjkovic informó sobre la vulnerabilidad a Facebook el 24 de octubre bajo el programa de recompensas de errores de la compañía para el cual se realizó una reparación temporal en el mismo día que involucraba la desactivación del punto final facebook_login_sso. Además, Facebook lanzó un parche permanente el 30 de octubre.
Sin embargo, Franjkovic descubrió una vulnerabilidad de inicio de sesión de CSRF (falsificación de petición en sitios cruzados) unas semanas más tarde que podría haber sido utilizada para aprovechar el parche de Facebook redirigiendo a la víctima a una URL de Oculus que el atacante haya elegido.
Franjkovic informó el segundo error en Facebook el 18 de noviembre, por el cual se realizó una reparación temporal el mismo día al deshabilitar nuevamente el punto final facebook_login_sso. Tres semanas después, la compañía lanzó un parche completo.
Aunque Franjkovic no reveló la cantidad de las recompensas que obtuvo de Facebook por descubrir las vulnerabilidades, el gigante de las redes sociales reveló la semana pasada que terminó pagando $880,000 en recompensas de errores en 2017 a los investigadores de seguridad. Noticia escrita por Noé Cruz fundador y creador del blog 1000 tips informaticos.