Очки виртуальной реальности Oculus дают пользователям возможность подключения к собственным аккаунтам Facebook. Процесс подключения проводится и через специальное приложение для Windows, и посредством браузера. ИБ-эксперт Йосип Франькович провел анализ приложения и выявил уязвимость, которая дает возможность провести межсайтовую подделку запросов (CSRF).
Как утверждает исследователь, хакер, используя уязвимость, мог подключить чужой аккаунт Facebook к своей учетной записи Oculus, заполучить токен для доступа и посредством запросов GraphQL захватить контроль над аккаунтом жертвы.
Киберпреступник для проведения атаки должен создать определенные мутации GraphQL и переслать их на graph.oculus.com/graphql с токеном для доступа к своему аккаунту Oculus. В ответ будет отправлена ссылка, которая позволяет интегрировать два сервиса в один клик. При переходе по ссылке учетная ссылка Facebook жертвы подключится к аккаунту Oculus злоумышленника.
Франькович хотел рассказать Facebook о своей находке, но затем решил детально изучить Windows-приложение Oculus. Он выяснил, что посредством запроса можно заполучить токен для доступа к аккаунту Facebook жертвы и полностью захватить контроль над ней.
Эксперт сообщил Facebook о проблеме в октябре прошлого года, после чего она была устранена. Однако через несколько недель Франькович выявил CSRF-уязвимость, которая позволяла хакеру проводить переадресацию жертв на URL-адрес Oculus на свой выбор. Проблему исправили в декабре прошлого года.
