在该Writeup中,作者通过测试Facebook商务套件(Facebook Business Suite)应用APP,发现可以从其中的页面消息部份(page messaging section)泄露与Facebook绑定的Instagram用户隐私信息,攻击者利用该Bug漏洞可以获取与其进行Instagram交流的任意用户的个人邮箱、出生年月等个人敏感信息。
Facebook商务套件(Facebook Business Suite)
Facebook商务套件(Facebook Business Suite)是Facebook推出的升级版商务应用APP,Facebook商务应用管理员可以通过 Facebook Business Suite 一站式管理 Facebook 和 Instagram 的所有绑定帐户。Facebook Business Suite 提供了各种各样的免费工具,可以帮助Facebook商务应用管理员更加轻松地管理自己的品牌形象,可以借助 Business Suite 一站式管理品牌形象,同时还能触达更多用户,把握最新的动态资讯。普通用户可以通过 business.facebook.com访问Facebook商务套件主页。
漏洞发现
首先,我可以通过我Facebook Page(脸书专页)的PageName>Settings>Instagram,来绑定自己的Instagram账户,这样我就能从Facebook商务套件中的Instagram收件箱来进行Instagram交流。
当我在其中回复一个朋友时,Facebook商务套件通话框右上角的信息引起了我的注意,其中竟然清楚地显示了我朋友的email邮箱地址,之后,我询问他是否把他自己的邮箱地址设置为隐私状态,但他无法确定。我马上又深入查询了Instagram用户的邮箱地址隐私策略。
通过查询可知,Instagram官方主页清楚地提到,用户email邮箱地址属于用户隐私,其他用户是不可见的,因此我确定这无疑应该是个bug了。
另外,我又从Instagram APP应用的Edit Profile>Personal Information Settings个人设置中看到,其中明确说明,用户的email邮箱、手机号码、性别和出生年月完全属于个人隐私,不可对其他用户可见。
因此,当我以上述方式和朋友交流时,就可以从通话框中完全看到对方的email邮箱、手机号码、性别和出生年月等个人隐私信息。之后,我又想如果对方用户把这些信息设置为只是个人可见的隐私状态,又会怎样?我这种方式还能看到他的隐私信息吗?
于是,我又马上注册了一个Instagram账户,把其中的个人信息设置为隐私状态,然后在Facebook商务套件中,用我原始的Instagram账号和该账号进行交流,BINGO,我仍然可以从通话框中完整地看到其个人信息。这让我震惊到了。
也就是说,我可以通过这种Facebook商务套件中的Instagram通信,获取到任意Instagram用户的个人信息,即使是把个人信息设置为隐私状态或是设置不接收私信的用户,都不在话下,受此影响。然后,我立马以POC视频的方式向Facebook安全团队进行了上报。由于我的一个朋友是Facebook安全团队工程师,我麻烦请他尽快跟进该漏洞,果然,漏洞上报两小时后,个人email邮箱泄露的问题就得到了修复。8个多小时后,Facebook安全团队就邮件告知我,整个漏洞已经得到修复,他们又邀请我再次进行了复测。然而,复测之后我又发现了另外一个问题。
复测发现个人出生年月信息仍存在泄露
我再次测试后发现,还是在原来的对话框位置,仍然存在着对方用户个人出生年月信息泄露的问题,告知Facebook后,他们有些不解,深入分析后我发现,原来是这样的:如果用户通过手工注册了Instagram账户,那么这些类型的Instagram用户就会存在这种出生年月信息泄露;如果用户是通过Facebook登录跳转过来的,就不存在这种出生年月信息泄露。这好像又构成了另外一种隐私泄露,即:
出生年月信息泄露 = 对方用户是手工注册的Instagram账户
出生年月信息未泄露 = 对方用户是通过Facebook登录跳转过来的
漏洞奖励
第二天该问题总算得到了修复。接下来,我知晓对于Facebook来说,只要涉及到用户隐私的漏洞一般都会是好洞,漏洞奖励也会相对较高。果不其然,经过了漫长的7个星期后,我收获了Facebook奖励的$13,125。
漏洞上报和处理进程
2020.10.22 漏洞初报
2020.10.23 漏洞分类
2020.10.23 个人email邮箱泄露问题得到修复
2020.10.28 个人出生年月信息泄露问题得到修复
2020.12.16 Facebook奖励了我$13,125
参考来源:medium
来源:freebuf.com 2020-12-24 17:38:49 by: clouds
请登录后发表评论
注册