一名安全研究人员在Facebook的授权功能“Login with Facebook”中发现一个严重的账户控制漏洞。攻击者可利用该漏洞窃取Access_Token并完全控制受害者的Facebook账户。

Facebook使用OAuth 2.0作为授权协议，该协议帮助交换来自Facebook和其他第三方网站的token。

该漏洞存在于“Login with Facebook”功能中，攻击者可通过设置恶意网站利用该漏洞窃取多个应用程序的Access token，包括Instagram，Oculus，Netflix，Tinder，Spotify以及Facebook账户。

一旦攻击者使用窃取的token入侵了目标账户，他就能够获取完全的读取/写入权限，如信息，照片和视频，即便隐私策略设置为“仅自己可见”。

发现该漏洞的印度安全研究人员Amol Baikar表示，该严重的Facebook漏洞可允许攻击者控制账户，包括Facebook，Instagram，Oculus和其他Facebook服务。同时，攻击者可以获取对Netflix，Tinder，Spotify等（实现以Facebook账户登录的）第三方网站的访问权限。

Amol Baikar去年12月向Facebook报送了该漏洞，Facebook快速发布补丁修复了该漏洞，同时奖励Amol Baikar 55 000美金。

这是在Facebook上发现的，所有客户端网站账户控制漏洞的最高奖励赏金。

由于该漏洞存在于“Login with Facebook”功能中将近10年，目前尚不清楚该漏洞是否遭到利用。

本文源自GBHackers；转载请注明出处。