漏洞赏金计划：黑客通过Oculus应用劫持Facebook账号

　　2018年01月18日，如果这家社交巨头没有及时修补漏洞，Facebook与Oculus头显的集成可能已经为黑客劫持账号打开了方便大门。

　　Oculus成立于2012年，他们最为人熟知的是Oculus Rift虚拟现实头显。在2014年3月，Facebook宣布他们将会收购Oculus VR，而交易在2014年7月正式完成。在2014年8月，Facebook将Oculus Rift纳入了其白帽漏洞赏金计划，并向报告漏洞的研究人员提供奖励。从那以后，研究人员在Oculus服务中发现了多个漏洞，并因此获取了2.5万美元的奖励。

　　在2017年10月，网络安全顾问Josip Franjkovic决定研究Windows的Oculus应用(其允许本地Windows Oculus应用程序和浏览器接入Facebook帐户以访问更多的社交体验)。

　　在他的研究中，Franjkovic展示了黑客是如何利用特制的GraphQL查询将用户的Facebook账户连接至黑客的Oculus账户，并且获取用户的access_token(允许访问Facebook的GraphQL端点)，从而劫持用户的Facebook账户。借助特制的GraphQL查询，黑客可以控制用户的Facebook帐户并更改帐户电话号码，然后重置帐户的密码。

　　Franjkovic在10月24日向Facebook报告了这一漏洞，而Facebook在同一天进行了一次临时修复，其中涉及禁用facebook_login_ssoendpoint。此外，Facebook于10月30日推出了一个永久补丁。

　　但几个星期后，Franjkovic发现了一个登录CSRF(跨站点请求伪造)漏洞。借助这个漏洞，黑客可以将用户重定向至黑客选择的一个Oculus URL，从而绕开Facebook的补丁。

　　Franjkovic在11月18日向Facebook报告了第二个漏洞，然后Facebook在同一天通过再次禁用facebook_login_sso端点进行了临时修复。三周后，该公司推出了一个完整的补丁。

　　Franjkovic写道：“解决方案是在/account_receivable/endpoint上实施CSRF检查，并且添加一个额外的点击来确认Facebook和Oculus帐户之间的关联。我相信这样可以在不降低用户体验的情况下妥善修复漏洞。”

　　尽管Franjkovic没有透露Facebook为他提供了多少奖励，但这家社交网络巨头于上周透露(通过SecurityWeek)，他们在2017年向安全研究人员支付了88万美元的漏洞报告奖金。