Facebook corrige un bug utilisant les SMS

Jack Whitten, un hacker connu sous le pseudonyme fin1te indique que le réseau social vient de corriger une faille de sécurité qu'il a découverte. La vulnérabilité permettait de prendre le contrôle d'un compte Facebook via la fonction SMS censée lier un profil à un téléphone portable.

Un spécialiste britannique de la sécurité annonce que Facebook a corrigé une faille de sécurité plutôt gênante. Connu sous le pseudonyme fin1te, il précise avoir reçu 20 000 dollars du réseau social, somme versée dans le cadre du programme récompensant ceux qui communiquent au réseau social des failles de sécurité dans les dispositifs de ses services.

Jack Whitten ou fin1te précise sur son blog qu'il lui était possible de prendre le contrôle d'un compte en peu de temps. Facebook propose en effet de lier un numéro de téléphone à son compte. L'utilisateur peut alors recevoir des informations, des mises à jour via SMS. Le numéro peut également servir de porte d'entrée vers le réseau social.

Le code d'enregistrement ainsi envoyé à l'utilisateur se présente dans un format lui permettant d'éditer le champ profile_id, la faille se situant précisément sur /ajax/settings/mobile/confirm_phone.php. Suite à cette modification, Whitten ajoute que le compte de la victime se trouve liée au téléphone de l'attaquant. Ce dernier peut alors demander une réinitialisation du mot de passe, l'obtenir et accéder au compte de la cible.

Selon le hacker, le problème a été présenté à Facebook le 23 mai dernier, le réseau social a par la suite répondu puis corrigé la faille à la date du 28.