Axborot xavfsizligi sohasida ishlovchi tadqiqotchi Amol Baykar Facebook ijtimoiy tarmog‘i tomonidan foydalaniladigan OAuth avtorizatsiya protokolidagi o‘n yillik zaiflik haqidagi ma’lumotlarni e’lon qildi. Ushbu zaiflikdan foydalanish Facebook akkauntlarini buzish imkonini berdi.
Yuqorida aytib o'tilgan muammo "Facebook bilan kirish" funksiyasiga tegishli bo'lib, u sizga Facebook hisob qaydnomangiz yordamida turli veb-saytlarga kirish imkonini beradi. Facebook.com va uchinchi tomon manbalari o'rtasida tokenlarni almashish uchun OAuth 2.0 protokoli qo'llaniladi, bu esa tajovuzkorlarga foydalanuvchi hisoblarini buzish uchun kirish tokenlarini to'sib qo'yish imkonini beradigan kamchiliklarga ega. Zararli veb-saytlardan foydalanib, tajovuzkorlar nafaqat Facebook akkauntlariga, balki “Facebook bilan kirish” funksiyasini qo‘llab-quvvatlaydigan boshqa xizmatlarning akkauntlariga ham kirishlari mumkin edi. Hozirgi vaqtda ko'plab veb-resurslar ushbu funktsiyani qo'llab-quvvatlaydi. Jabrlanuvchilarning akkauntlariga kirish huquqiga ega bo'lgandan so'ng, tajovuzkorlar buzilgan akkauntlar egalari nomidan xabarlar yuborishi, hisob ma'lumotlarini tahrirlashi va boshqa amallarni bajarishi mumkin.
Ma’lumotlarga ko‘ra, tadqiqotchi Facebook’ni o‘tgan yilning dekabr oyida aniqlangan muammo haqida xabardor qilgan. Ishlab chiquvchilar zaiflikning mavjudligini tan oldilar va uni tezda tuzatdilar. Biroq, yanvar oyida Baykar tarmoq foydalanuvchilari hisoblariga kirish imkonini beruvchi vaqtinchalik yechim topdi. Keyinchalik Facebook bu zaiflikni tuzatdi va tadqiqotchi 55 000 dollar mukofot oldi.
Manba: 3dnews.ru