Raziskovalec Amol Baikar, ki dela na področju informacijske varnosti, je objavil podatke o deset let stari ranljivosti v avtorizacijskem protokolu OAuth, ki ga uporablja družbeno omrežje Facebook. Izkoriščanje te ranljivosti je omogočilo vdor v račune Facebook.
Omenjena težava se nanaša na funkcijo »Login with Facebook«, ki omogoča prijavo na različne spletne strani z vašim Facebook računom. Za izmenjavo žetonov med facebook.com in viri tretjih oseb se uporablja protokol OAuth 2.0, ki ima pomanjkljivosti, ki so napadalcem omogočile prestrezanje žetonov dostopa za vdor v uporabniške račune. Z uporabo zlonamernih spletnih mest lahko napadalci pridobijo dostop ne le do računov Facebook, temveč tudi do računov drugih storitev, ki podpirajo funkcijo »Prijava s Facebookom«. Trenutno veliko število spletnih virov podpira to funkcijo. Ko pridobijo dostop do računov žrtev, lahko napadalci pošiljajo sporočila, urejajo podatke o računih in izvajajo druga dejanja v imenu lastnikov vdrtih računov.
Kot poročajo, je raziskovalec decembra lani obvestil Facebook o odkriti težavi. Razvijalci so prepoznali obstoj ranljivosti in jo nemudoma odpravili. Vendar pa je januarja Baykar našel rešitev, ki mu je omogočila dostop do omrežnih uporabniških računov. Facebook je pozneje odpravil to ranljivost in raziskovalec je prejel nagrado v višini 55 dolarjev.
Vir: 3dnews.ru