Een beveiligingsonderzoeker heeft 5.000 dollar ontvangen van Facebook voor het vinden van een lek in de sociale netwerksite. De onderzoeker die gebruik maakt van het alias ‘ AMol NAik ‘, vond een Cross-Site Request Forgery (CSRF) lek waarmee hij namens ingelogde gebruikers acties kon uitvoeren.
De nieuwe kwetsbaarheid zat in een nieuwe functie van Facebook genaamd AppCenter, waarmee gebruikers hun favorite apps kunnen bijhouden. Een proof of concept voor de exploit staat op het blog van Amol Niak.
Facebook maakt al langer gebruik van speciale antie-CRSF tokens in alle HTTP verzoeken. Deze tokens werden echter niet gecontroleerd op geldigheid bij gebruik van het AppCenter, waardoor een aanvaller namens de gebruiker apps kon toevoegen. Als een gebruiker een website bezoekt waar de CSRF-exploit wordt toegepast, kan een kwaadaardige app worden geïnstalleerd in het AppCenter.
Facebook heeft het probleem kort na de melding door de onderzoeker verholpen. Het is opmerkelijk dat dit lek werd gevonden. Facebook zet stevig in op beveiliging en zij hadden deze kwetsbaarheid via een reguliere web application audit kunnen identificeren voordat het AppCenter live ging.