Phân tích lỗ hổng bảo mật Facebook (28/9/2018)

Nhận thấy một số biến động trong tình trạng bảo mật của Facebook thời gian gần đây, nên mình xin tóm tắt lại cho mọi người hiểu thêm về những vấn đề nóng đang tồn tại của mạng xã hội lớn nhất hành tình này.
Vào ngày hôm qua (28/9/2018), một số người dùng Facebook bị đăng xuất ra khỏi tất cả các thiết bị một cách khó hiểu. Cùng ngày, Facebook đã đăng tải một bài viết thông báo về sự cố bảo mật gây ảnh hưởng đến 50 triệu người dùng (https://newsroom.fb.com/news/2018/09/security-update/).
Lỗ hổng này được xác định là nằm trong tính năng "View As" giúp cho người dùng có thể preview trang cá nhân của mình với tư cách một người khác.



Ngay lập tức phía Facebook đã vô hiệu hóa tính năng này để tiến hành vô hiệu hóa tính năng này để tiến hành vá lỗi.



Đồng thời họ cũng reset phiên đăng nhập của 50 triệu tài khoản bị ảnh hưởng và 40 triệu tài khoản nghi ngờ ảnh hưởng. Như vậy có 90 triệu tài khoản người dùng bị ảnh hưởng trong sự cố bảo mật này.

Sở dĩ có một lỗ hổng bảo mật như thế này là vì những lý do sau:

1. Trước giờ Facebook luôn tạo ra một access token trong trang cá nhân của người dùng để làm nhiệm vụ upload video. (Access token là một chìa khóa điện tử được dùng để lưu phiên đăng nhập, tác dụng điển hình nhất là giúp cho người dùng không phải đăng nhập lại mỗi lần sử dụng app). Tuy nhiên do lỗi từ phía bên Facebook, access token trên trạng cá nhân này lại có các quyền của app "Facebook for Android" (có thể sử dụng tất cả các tính năng như trên điện thoại) thay vì chỉ là upload video.
2. Tính năng "View As" được tạo ra với quyền read-only, bạn chỉ có thể xem trang cá nhân với tư cách một người khác chứ không thể thay đổi gì trên trang cá nhân này. Tuy nhiên nó lại cung cấp tính năng upload video. Vì có upload video nên cái access token ở trên sẽ được tạo ra để phục vụ cho mục đích này.
3. Tính năng "View As" cho phép người dùng xem trang cá nhân với tư cách một người khác, nhưng lại tạo ra access token của người xem (nếu họ nằm trong friendlist của bạn). 

Mỗi vấn đề trên nếu chỉ mình nó đứng riêng lẻ thì không có tác động gì nhiều, nhưng bộ ba vấn đề này gộp lại đã tạo thành một lỗ hổng bảo mật nghiêm trọng. Kẻ tấn công có thể lấy được access token của tất cả mọi người trong friendlist của mình, và tiếp tục dùng những tài khoản đó làm bàn đạp để mở rộng tấn công.

Một số người cho rằng thông tin này có liên hệ với việc hacker tuyên bố livestream xóa Facebook của Mark trong thời gian gần đây (http://www.techrum.vn/threads/hacker-tuyen-b-se-live-stream-xoa-facebook-cua-mark-zuckerberg-vao-chu-nht.194581/). Tuy nhiên thông tin không đáng tin cậy này không có cơ sở, chúng ta nên đợi thêm thông báo chính thức từ Facebook trong thời gian tới.

Sự kiện có lẽ lại là một đòn giảng nặng nề khác cho Facebook sau scandal Cambridge Analytica hồi đầu năm, dấy lên sự quan ngại về bảo mật thông tin người dùng.