Հետազոտող Ամոլ Բայկարը, ով աշխատում է տեղեկատվական անվտանգության ոլորտում, հրապարակել է տվյալներ Facebook սոցիալական ցանցի կողմից օգտագործվող OAuth թույլտվության արձանագրության տասը տարվա վաղեմության խոցելիության մասին։ Այս խոցելիության շահագործումը հնարավորություն տվեց կոտրել Facebook-ի հաշիվները:
Նշված խնդիրը վերաբերում է «Մուտք գործել Facebook-ով» ֆունկցիային, որը թույլ է տալիս մուտք գործել տարբեր կայքեր՝ օգտագործելով ձեր ֆեյսբուքյան հաշիվը։ facebook.com-ի և երրորդ կողմի ռեսուրսների միջև թոքեններ փոխանակելու համար օգտագործվում է OAuth 2.0 արձանագրությունը, որն ունի թերություններ, որոնք թույլ են տվել հարձակվողներին գաղտնալսել մուտքի նշանները՝ օգտատերերի հաշիվները կոտրելու համար: Վնասակար կայքերից օգտվելով՝ հարձակվողները կարող են մուտք գործել ոչ միայն Facebook-ի հաշիվներ, այլ նաև այլ ծառայությունների հաշիվներ, որոնք աջակցում են «Մուտք Facebook-ով» գործառույթը: Ներկայումս մեծ թվով վեբ ռեսուրսներ աջակցում են այս գործառույթին: Զոհերի հաշիվներին հասանելիություն ստանալուց հետո հարձակվողները կարող են հաղորդագրություններ ուղարկել, խմբագրել հաշվի տվյալները և կատարել այլ գործողություններ կոտրված հաշիվների սեփականատերերի անունից:
Ըստ տեղեկությունների՝ հետազոտողն անցյալ տարվա դեկտեմբերին տեղեկացրել է Facebook-ին հայտնաբերված խնդրի մասին։ Մշակողները ճանաչեցին խոցելիության առկայությունը և անմիջապես շտկեցին այն: Այնուամենայնիվ, հունվարին Բայքարը գտավ լուծում, որը թույլ տվեց նրան մուտք գործել ցանցի օգտատերերի հաշիվներ: Ավելի ուշ Facebook-ը շտկեց այս խոցելիությունը, և հետազոտողը ստացավ 55 դոլար պարգև:
Source: 3dnews.ru