Ο ερευνητής Amol Baikar, ο οποίος εργάζεται στον τομέα της ασφάλειας πληροφοριών, δημοσίευσε δεδομένα για μια δεκαετή ευπάθεια στο πρωτόκολλο εξουσιοδότησης OAuth που χρησιμοποιεί το κοινωνικό δίκτυο Facebook. Η εκμετάλλευση αυτής της ευπάθειας κατέστησε δυνατή την εισβολή λογαριασμών στο Facebook.
Το αναφερόμενο πρόβλημα αφορά τη λειτουργία «Σύνδεση με Facebook», η οποία σας επιτρέπει να συνδεθείτε σε διαφορετικούς ιστότοπους χρησιμοποιώντας το λογαριασμό σας στο Facebook. Για την ανταλλαγή διακριτικών μεταξύ του facebook.com και πόρων τρίτων, χρησιμοποιείται το πρωτόκολλο OAuth 2.0, το οποίο έχει ελλείψεις που επέτρεπαν στους εισβολείς να υποκλέψουν διακριτικά πρόσβασης για να παραβιάσουν λογαριασμούς χρηστών. Χρησιμοποιώντας κακόβουλους ιστότοπους, οι εισβολείς θα μπορούσαν να αποκτήσουν πρόσβαση όχι μόνο σε λογαριασμούς Facebook, αλλά και σε λογαριασμούς άλλων υπηρεσιών που υποστηρίζουν τη λειτουργία «Σύνδεση με Facebook». Επί του παρόντος, ένας μεγάλος αριθμός πόρων Ιστού υποστηρίζει αυτήν τη λειτουργία. Αφού αποκτήσουν πρόσβαση στους λογαριασμούς των θυμάτων, οι εισβολείς μπορούν να στείλουν μηνύματα, να επεξεργαστούν δεδομένα λογαριασμού και να εκτελέσουν άλλες ενέργειες εκ μέρους των κατόχων των χακαρισμένων λογαριασμών.
Σύμφωνα με αναφορές, ο ερευνητής ειδοποίησε το Facebook για το πρόβλημα που ανακαλύφθηκε τον Δεκέμβριο του περασμένου έτους. Οι προγραμματιστές αναγνώρισαν την ύπαρξη της ευπάθειας και το διόρθωσαν αμέσως. Ωστόσο, τον Ιανουάριο, ο Baykar βρήκε μια λύση που του επέτρεψε να αποκτήσει πρόσβαση σε λογαριασμούς χρηστών δικτύου. Το Facebook διόρθωσε αργότερα αυτό το θέμα ευπάθειας και ο ερευνητής έλαβε ανταμοιβή 55 $.
Πηγή: 3dnews.ru