Уязвимость позволяла подключить к своей учетной записи Oculus чужой Facebook-аккаунт и захватить над ним контроль.
Очки виртуальной реальности Oculus позволяют пользователям подключаться к своим учетным записям Facebook для более богатого «социального» опыта. Подключение осуществляется как с помощью родного приложения для Windows, так и через браузер. Исследователь безопасности Йосип Франькович (Josip Franjković) проанализировал приложение и обнаружил уязвимость, позволяющую осуществить межсайтовую подделку запросов (CSRF). По словам исследователя, проэксплуатировав уязвимость, злоумышленник мог подключить чужую учетную запись Facebook к своей учетной записи Oculus, получить токен для доступа и с помощью запросов GraphQL захватить контроль над учетной записью жертвы.
Для осуществления атаки злоумышленник должен создать определенные мутации GraphQL и отправить их на graph.oculus.com/graphql с токеном для доступа к своей учетной записи Oculus. В ответ придет ссылка, делающая возможной интеграцию двух сервисов всего в один клик. Если жертва нажмет на ссылку, ее учетная запись Facebook подключится к учетной записи Oculus атакующего.
Франькович намеревался сообщить Facebook о своем открытии, однако решил сначала подробнее изучить Windows-приложение Oculus. Как пояснил исследователь, app.asar приложения содержит ссылки на запрос GraphQL, возвращающий информацию о подключенной учетной записи Facebook. Франькович обнаружил, что с помощью запроса можно получить токен для доступа к учетной записи Facebook жертвы, а значит, захватить над ней полный контроль.
Исследователь уведомил Facebook о своей находке в октябре 2017 года, и проблема была исправлена. Тем не менее, спустя несколько недель Франькович обнаружил CSRF-уязвимость, позволявшую злоумышленнику перенаправлять жертв на URL-адрес Oculus на свой выбор. Проблема была исправлена в декабре 2017 года.
Ладно, не доказали. Но мы работаем над этим