Questa volta la falla è nel processo di rivendicazione di un indirizzo email e a scoprirla è stato Dan Melamed che ha postato l’analisi dettagliata della falla nel suo blog.
Quando un utente Facebook prova ad aggiungere un ulteriore indirizzo mail e questo risulta già utilizzato, Facebook ti da la possibilità di avviare il processo di rivendicazione che permette di confermare che siamo noi i reali utilizzatori della casella.
Dopo aver analizzato il processo di rivendicazione Dan Melamed ha riscontrato che Facebook non verifica la provenienza della richiesta e pertanto generando dei link ad hoc con un’indirizzo mail in suo possesso sarebbe stato possibile far aggiungere la sua email a, potenzialmente, qualsiasi account Facebook.
Per fare ciò ha creato una pagina “malevola” contenente in modalità nascosta (iframe o img) il link che abilita l’aggiunta di un indirizzo email all’account Facebook loggato.
Ciò significa che chiunque avesse visitato tale pagina stando loggato su Facebook avrebbe implicitamente accettato l’aggiunta dell’indirizzo mail di Dan come seconda email dell’account. Tutto sarebbe stato validato senza ricevere alcune comunicazione che avrebbe potuto insospettirci riguardo l’attività illecita.
Una volta ottenuto l’accesso si poteva cambiare la password lasciando fuori il reale proprietario del profilo Facebook.
Dan ha provveduto a realizzare un video PoC (Proof Of Concept) per dimostrare l’exploit della vulnerabilità trovata.
Il Team di Sicurezza Facebook è intervenuto prontamente provvedendo a patchare la vulnerabilità.