Изследователят Амол Байкар, който работи в областта на информационната сигурност, публикува данни за десетгодишна уязвимост в протокола за авторизация OAuth, използван от социалната мрежа Facebook. Използването на тази уязвимост направи възможно хакването на акаунти във Facebook.
Споменатият проблем се отнася до функцията „Вход с Facebook“, която ви позволява да влизате в различни уеб сайтове, използвайки вашия акаунт във Facebook. За обмен на токени между facebook.com и ресурси на трети страни се използва протоколът OAuth 2.0, който има недостатъци, които позволяват на атакуващите да прихващат токени за достъп, за да хакнат потребителски акаунти. Използвайки злонамерени уебсайтове, нападателите могат да получат достъп не само до акаунти във Facebook, но и до акаунти на други услуги, които поддържат функцията „Вход с Facebook“. В момента голям брой уеб ресурси поддържат тази функция. След като получат достъп до акаунтите на жертвите, нападателите могат да изпращат съобщения, да редактират данните на акаунта и да извършват други действия от името на собствениците на хакнати акаунти.
Според съобщенията изследователят е уведомил Facebook за открития проблем през декември миналата година. Разработчиците разпознаха съществуването на уязвимостта и незабавно я поправиха. През януари обаче Байкар намери решение, което му позволи да получи достъп до мрежовите потребителски акаунти. По-късно Facebook поправи тази уязвимост и изследователят получи награда от $55 000.
Източник: 3dnews.ru