Der Informationssicherheitsforscher Amol Baikar hat Daten zu einer zehn Jahre alten Schwachstelle im OAuth-Autorisierungsprotokoll veröffentlicht, das vom sozialen Netzwerk Facebook verwendet wird. Durch die Ausnutzung dieser Sicherheitslücke konnten Facebook-Konten gehackt werden.
Das erwähnte Problem betrifft die Funktion „Mit Facebook anmelden“, die es Ihnen ermöglicht, sich mit Ihrem Facebook-Konto auf verschiedenen Websites anzumelden. Um Token zwischen facebook.com und Ressourcen von Drittanbietern auszutauschen, wird das OAuth 2.0-Protokoll verwendet, das Schwachstellen aufweist, die es Angreifern ermöglichen, Zugriffstoken abzufangen, um Benutzerkonten zu hacken. Über bösartige Websites könnten sich Angreifer nicht nur Zugriff auf Facebook-Konten verschaffen, sondern auch auf Konten anderer Dienste, die die Funktion „Mit Facebook anmelden“ unterstützen. Derzeit unterstützen viele Webressourcen diese Funktion. Nachdem Angreifer Zugriff auf die Konten der Opfer erhalten haben, können sie im Namen der Besitzer gehackter Konten Nachrichten senden, Kontodaten bearbeiten und andere Aktionen ausführen.
Berichten zufolge hat der Forscher Facebook im Dezember letzten Jahres über das entdeckte Problem informiert. Die Entwickler haben die Schwachstelle erkannt und umgehend behoben. Im Januar fand Baikar jedoch einen Workaround, der den Zugriff auf die Konten von Netzwerkbenutzern ermöglicht. Später behob Facebook auch diese Schwachstelle und der Forscher erhielt eine Belohnung von 55 US-Dollar.
Source: 3dnews.ru