分类: 网络与安全
2013-07-01 10:47:19
英国Jack Whitton发现了Facebook系统中存在的一个漏洞,能让黑客在用户完全不知情的情况下入侵他们的Facebook帐号,且方法十分简单,只要向Facebook发送一条短信即可。这个安全漏洞存在于Facebook的一项服务中,该服务允许用户将他们手机与Facebook账户绑定。这样,用户就可以通过手机号码而非电子邮件地址登录Facebook,通过发送短信对个人页面进行更新。
若想激活这一功能,用户需要向Facebook发送一条短信,Facebook随后会向用户手机发送验证码。这个验证码会将用户的手机与他们Facebook的帐号绑定在一起。但Whitton发现,只要对验证码进行修改,该用户也可以进入其他用户的Facebook帐号。Whitton在一篇博文中解释说,这意味着黑客可以修改密码,完全控制某些Facebook帐号。
Facebook暂未对这一报道发表评论。独立安全分析师Graham Cluely表示,如果这个安全漏洞未能被及时发现,恐怕会对大量Facebook用户造成影响。Cluely上周五在一篇博文中写道:“这种情况本不可能存在,但由于Facebook繁杂的代码网络的缺陷,黑客只要通过这种简单易行的办法,或许就可以劫持数十亿个Facebook帐号。”
Whitton在5月23日将这个安全漏洞报告给Facebook,后者在五天后即予以修复。Facebook也因此将Whitton列入了其white hat名单,所谓的白帽黑客是指,研究人员发现了某个安全漏洞,但并没有通过其获利,而是通知了相关厂商。
Facebook近来还遭遇了其他重大安全问题。6月早些时候,Facebook发现了一个安全漏洞,它会导致系统无意中公开了大约600万用户的联系人信息。今年2月,网络应用安全专家Nir Goldshlager也在Facebook代码中发现了一个漏洞,黑客能通过它劫持Facebook帐号。