انفارمیشن سیکیورٹی کے شعبے میں کام کرنے والے محقق امول بائیکر نے سوشل نیٹ ورک فیس بک کے ذریعے استعمال ہونے والے OAuth اتھارٹی پروٹوکول میں دس سال پرانی کمزوری کا ڈیٹا شائع کیا ہے۔ اس کمزوری کا فائدہ اٹھاتے ہوئے فیس بک اکاؤنٹس کو ہیک کرنا ممکن ہوا۔
مذکورہ مسئلہ "لاگ ان ود فیس بک" فنکشن سے متعلق ہے، جو آپ کو اپنے فیس بک اکاؤنٹ کا استعمال کرتے ہوئے مختلف ویب سائٹس میں لاگ ان کرنے کی اجازت دیتا ہے۔ facebook.com اور فریق ثالث کے وسائل کے درمیان ٹوکن کا تبادلہ کرنے کے لیے، OAuth 2.0 پروٹوکول استعمال کیا جاتا ہے، جس میں ایسی خامیاں ہیں جو حملہ آوروں کو صارف کے اکاؤنٹس ہیک کرنے کے لیے رسائی ٹوکنز کو روکنے کی اجازت دیتی ہیں۔ بدنیتی پر مبنی ویب سائٹس کا استعمال کرتے ہوئے، حملہ آور نہ صرف فیس بک اکاؤنٹس تک رسائی حاصل کرسکتے ہیں، بلکہ دیگر سروسز کے اکاؤنٹس تک بھی رسائی حاصل کرسکتے ہیں جو "فیس بک کے ساتھ لاگ ان" فنکشن کو سپورٹ کرتے ہیں۔ فی الحال، ویب وسائل کی ایک بڑی تعداد اس فنکشن کی حمایت کرتی ہے۔ متاثرین کے اکاؤنٹس تک رسائی حاصل کرنے کے بعد، حملہ آور ہیک کیے گئے اکاؤنٹس کے مالکان کی جانب سے پیغامات بھیج سکتے ہیں، اکاؤنٹ کے ڈیٹا میں ترمیم کر سکتے ہیں اور دیگر کارروائیاں کر سکتے ہیں۔
رپورٹس کے مطابق محقق نے گزشتہ سال دسمبر میں دریافت ہونے والے مسئلے کے بارے میں فیس بک کو مطلع کیا تھا۔ ڈویلپرز نے خطرے کی موجودگی کو تسلیم کیا اور اسے فوری طور پر ٹھیک کیا۔ تاہم، جنوری میں، Baykar نے ایک ایسا حل تلاش کیا جس نے اسے نیٹ ورک صارف اکاؤنٹس تک رسائی حاصل کرنے کی اجازت دی۔ فیس بک نے بعد میں اس خطرے کو دور کیا، اور محقق کو $55 کا انعام ملا۔
ماخذ: 3dnews.ru