محقق آمل بایکار که در زمینه امنیت اطلاعات فعالیت می کند، داده هایی را در مورد یک آسیب پذیری ده ساله در پروتکل مجوز OAuth مورد استفاده شبکه اجتماعی فیس بوک منتشر کرده است. بهره برداری از این آسیب پذیری امکان هک اکانت های فیسبوک را فراهم کرد.
مشکل ذکر شده مربوط به عملکرد "ورود با فیس بوک" است که به شما امکان می دهد با استفاده از حساب فیس بوک خود به وب سایت های مختلف وارد شوید. برای تبادل توکنها بین facebook.com و منابع شخص ثالث، از پروتکل OAuth 2.0 استفاده میشود که دارای کاستیهایی است که به مهاجمان اجازه میدهد تا توکنهای دسترسی را برای هک حسابهای کاربر رهگیری کنند. با استفاده از وبسایتهای مخرب، مهاجمان میتوانند نه تنها به حسابهای فیسبوک، بلکه به حسابهای سرویسهای دیگری که از عملکرد «ورود با فیسبوک» پشتیبانی میکنند نیز دسترسی داشته باشند. در حال حاضر، تعداد زیادی از منابع وب از این عملکرد پشتیبانی می کنند. مهاجمان پس از دسترسی به حسابهای قربانیان میتوانند پیام ارسال کنند، دادههای حساب را ویرایش کنند و سایر اقدامات را از طرف صاحبان حسابهای هک شده انجام دهند.
بر اساس گزارش ها، این محقق در دسامبر سال گذشته به فیس بوک در مورد مشکل کشف شده اطلاع داده است. توسعه دهندگان وجود این آسیب پذیری را تشخیص دادند و به سرعت آن را برطرف کردند. با این حال، در ژانویه، بایکار راهحلی پیدا کرد که به او اجازه داد به حسابهای کاربری شبکه دسترسی پیدا کند. فیسبوک بعداً این آسیبپذیری را برطرف کرد و محقق 55 دلار جایزه دریافت کرد.
منبع: 3dnews.ru