Даследчык Амол Байкар (Amol Baikar), які працуе ў сферы інфармацыйнай бяспекі, апублікаваў дадзеныя аб існуючай на працягу дзесяці гадоў уразлівасці ў пратаколе аўтарызацыі OAuth, які выкарыстоўваецца ў сацыяльнай сетцы Facebook. Эксплуатацыя дадзенай уразлівасці дазваляла ажыццяўляць узлом акаўнтаў Facebook.
Згаданая праблема тычыцца функцыі "Увайсці праз Facebook", якая дазваляе аўтарызавацца на розных вэб-пляцоўках з дапамогай уліковага запісу Facebook. Для абмену токенамі паміж facebook.com і іншымі рэсурсамі прымяняецца пратакол OAuth 2.0, які мае недахопы, якія дазвалялі зламыснікам перахапляць токены доступу для ўзлому карыстацкіх уліковых запісаў. Выкарыстоўваючы шкоднасныя сайты, зламыснікі маглі атрымаць доступ не толькі да акаўнтаў у Facebook, але і да ўліковых запісаў іншых сэрвісаў, у якіх падтрымліваецца функцыя "Увайсці праз Facebook". У наш час вялікая колькасць вэб-рэсурсаў падтрымліваюць гэтую функцыю. Пасля атрымання доступу да акаўнтаў ахвяраў зламыснікі могуць адпраўляць паведамленні, рэдагаваць дадзеныя ўліковых запісаў, а таксама здзяйсняць іншыя дзеянні ад імя ўладальнікаў узламаных акаўнтаў.
Паводле наяўных дадзеных, даследнік апавясціў Facebook аб выяўленай праблеме ў снежні мінулага гады. Распрацоўнікі прызналі наяўнасць уразлівасці і аператыўна ўхілілі яе. Аднак у студзені Байкар знайшоў абыходны шлях, які дазваляе атрымаць доступ да ўліковых запісаў карыстальнікаў сеткі. Пазней Facebook выправіла і гэтую ўразлівасць, а даследнік атрымаў узнагароду ў памеры $55 000.
Крыніца: 3dnews.ru