【漏洞分析】Facebook安卓版存在CSRF漏洞

vlambda
2021-02-06

【漏洞分析】Facebook安卓版存在CSRF漏洞

点击上方蓝字关注我们

概述

通过启动包含一些其他额外功能的FbMainTabActivity活动，可以覆盖Facebook安卓版(FB4a)的主UI，从而导致在屏幕底部附加一个新的音乐栏。用户一旦点击此音乐栏中的任何位置，将启动攻击者控制的深层链接。通过启动非导出的或者内部的深层链接，可以绕过已经采取的安全措施。该漏洞影响了安卓版Facebook和Facebook Workplace。在分析过程中，研究人员还确定了另外 2个容易受到XSS攻击的内部深层链接。

影响

恶意攻击者可以代表用户在设备上启动内部和未导出的深层链接，从而绕过对深层链接的自定义限制。
通过漏洞利用链，攻击者实现在FB4a应用程序内的Webview上，代表用户运行任意的javascript代码。
由于攻击活动的URL未暴露，因此使用自定义URL覆盖webviews可能会导致网络钓鱼。

设置

用户A通过FB4a认证
用户A在其设备上安装了Fb_PoC.apk

步骤

用户A启动已安装的应用程序FB_PoC
用户A被重定向到Facebook应用程序，并在视图底部附加一个新的“音乐”栏。
用户A单击音乐栏中的任意位置，从而打开攻击者控制的深层链接。

具体行为步骤，如以下视频所示：

漏洞分析

该漏洞存在于 handleNewIntent 方法下的 com.facebook.katana.activity.FbMain TabActivity 类。

如上图所示，该例程需要以下规则集：

必须包含值为true的should_show_rum_player布尔值
必须包含rum_destination_uri额外字符串
必须包含FLAG_ACTIVITY_NEW_TASK标志

由于rum_destination_uri无需进行任何形式的验证，因此我们能够提供任何有效的深度链接。

缓解措施

完全删除与此音乐栏相关的代码块。

时间线

2020年12月14日 - 向Facebook发送报告

2020年12月21日 - 请求更多信息

2021年1月5日 - 漏洞分类

2021年1月18日 - 漏洞修复

2021年1月28日 - 获得4千美元的漏洞赏金

END

好文！必须在看

vlambda博客
学习文章列表