我发现 instagram 中缺乏速率限制问题,这可能允许攻击者通过使用 Mate 帐户中心确认目标用户已经确认的 facebook 手机号码来绕过 facebook 上的双因素身份验证。
大家好,我是 Gtm Mänôz 。这是我第一次写漏洞赏金报告,也是我在 facebook 的最高赏金奖励。
早在 2022 年 7 月中旬,由于我在 2022 年初的 Meta Bug Bounty 计划中的出色表现,我收到了参加新加坡 BountyCon 2022 的邀请。收到邀请后,我唯一的想法就是至少找到一个有效的漏洞,并登上现场黑客活动的排行榜。
因此,当我在 instagram 中发现 Meta Accounts Center 的新界面时,一切就开始了。
新的 Instagram 帐户中心
在上图中,个人详细信息部分有一个选项,可以将电子邮件和电话号码添加到 Instagram 和链接的 Facebook 帐户,可以在输入电子邮件/电话中收到的正确 6 位代码后进行验证。在报告时,验证 6 位代码的端点容易受到缺乏速率限制保护的影响,允许任何人在 Instagram 和链接的 Facebook 帐户中确认未知/已知的电子邮件和电话号码。
1.生成加密 Authproof:
导航至下图所示的个人详细信息部分,然后输入已注册的 Facebook 手机号码以添加到您的 Instagram 链接的 Facebook 帐户中。
同时,它会向/api/v1/fxcal/get_native_linking_auth_blob/端点发出 post 请求,以生成 ig 加密的 authproof(token),它将在步骤 2 中添加以添加联系点,稍后还用于验证确认码。
下面是来自 burp suite的示例 HTTP 请求,显示了加密令牌的生成。
第 1 步:生成加密的 Authproof
2.添加联络地址:
在添加联系点(电子邮件/电话)时,它会向/api/v1/bloks/apps/com.bloks 发出发布请求。www.fx.settings.contact_point.add.async/ 端点请求服务器发送 6 位代码进行验证。
第 2 步:添加联络地址
3.代码验证
现在,输入任何随机的 6 位代码并使用 web 代理(burp suite)拦截请求。
第 3 步:代码验证
然后,将上述请求发送给入侵者,并在 pin_code 值中插入$$占位符,以暴力破解确认码。
因为,/api/v1/bloks/apps/com.bloks 中根本没有速率限制保护。www.fx.settings.contact_point.verify.async/endpoint,任何人都可以绕过联系地址验证。
在暴力破解的同时
如果 6 位代码错误,则响应将是“错误代码:该代码无效。请检查代码并重试。”
错误代码 并且,如果 6 位代码匹配,响应将很长并且输入的电子邮件/电话将被确认到攻击者的帐户。
因此,如果电话号码已完全确认并在 Facebook 中启用了 2FA,则 2FA 将被关闭或从受害者的帐户中禁用。
并且,如果电话号码被部分确认,这意味着仅用于 2FA,它将撤销 2FA,并且该电话号码将从受害者的帐户中删除。
因为验证 instagram 和关联的 facebook 帐户中的联系点(电子邮件/电话)的端点是相同的,所以我能够绕过 instagram 和 facebook 中的未知和已注册的联系点(电子邮件/电话)验证(无法添加) fb 中存在电子邮件)。
1.撤销任何人的基于短信的 facebook 2FA
2.绕过 Instagram 和 Facebook 中未知和已注册电子邮件/电话的联系点验证(无法在 fb 中添加已存在的电子邮件)。
2022 年 9 月 14 日——报告已发送至 Meta。
2022 年 9 月 16 日——Meta 回应说他们无法重现这个问题。
2022 年 9 月 20 日——将我的凭据提供给安全团队进行复制,因为新的帐户中心功能尚未在他们的帐户中推出。
2022 年 9 月 21 日——团队从新位置登录后,该功能从帐户中完全消失。
2022 年 9 月 21 日——该功能在取消链接关联的 Facebook 帐户时再次出现,并将这种奇怪的行为告知了团队。
2022 年 9 月 22 日——分流。
2022 年 9 月 24 日 — facebook 奖励绕过 instagram 的联系点验证
2022 年 10 月 3 日——发送有关撤销任何人基于短信的 facebook 2FA 的额外影响。
2022 年 10 月 17 日——Facebook 确认修复
2022 年 10 月 17 日——要求 Facebook 团队增加赏金金额,因为 Facebook 总是根据报告的最大可能影响支付赏金。
2022 年 12 月 14 日——收到 facebook 团队的回复,称他们将发放“除了我最初报告的漏洞的价值之外,将反映最大潜在影响的额外赏金金额。”
2022 年 12 月 15 日——Facebook 根据 2FA 绕过的新支付指南授予额外赏金。
推荐阅读:
点赞,转发,在看
原文地址:见阅读原文
作者:Gtm Mänôz