Tietoturvatutkija Amol Baikar on julkaissut tietoja sosiaalisen verkoston Facebookin käyttämän OAuth-valtuutusprotokollan kymmenen vuotta vanhasta haavoittuvuudesta. Tämän haavoittuvuuden hyödyntäminen mahdollisti Facebook-tilien hakkeroinnin.
Mainittu ongelma koskee "Kirjaudu sisään Facebookilla" -toimintoa, jonka avulla voit kirjautua sisään eri web-sivustoille Facebook-tililläsi. Tunnusten vaihtamiseen facebook.comin ja kolmannen osapuolen resurssien välillä käytetään OAuth 2.0 -protokollaa, jossa on puutteita, joiden ansiosta hyökkääjät voivat siepata käyttötunnuksia käyttäjätilien hakkerointia varten. Haitallisten sivustojen avulla hyökkääjät voivat päästä Facebook-tilien lisäksi myös muiden palveluiden tileille, jotka tukevat "Kirjaudu Facebookin kanssa" -toimintoa. Tällä hetkellä suuri määrä verkkoresursseja tukee tätä ominaisuutta. Päästyään pääsyn uhrien tileille hyökkääjät voivat lähettää viestejä, muokata tilitietoja ja suorittaa muita toimintoja hakkeroitujen tilien omistajien puolesta.
Raporttien mukaan tutkija ilmoitti Facebookille löydetystä ongelmasta viime vuoden joulukuussa. Kehittäjät tunnustivat haavoittuvuuden ja korjasivat sen nopeasti. Tammikuussa Baikar löysi kuitenkin kiertotavan, joka mahdollistaa pääsyn verkon käyttäjien tileihin. Facebook korjasi myöhemmin myös tämän haavoittuvuuden, ja tutkija sai 55 000 dollarin palkkion.
Lähde: 3dnews.ru