信息安全领域的研究员 Amol Baikar 公布了社交网络 Facebook 使用的 OAuth 授权协议中存在十年之久的漏洞的数据。 利用此漏洞可以入侵 Facebook 帐户。
上述问题涉及“使用Facebook登录”功能,该功能允许您使用Facebook帐户登录不同的网站。 为了在 facebook.com 和第三方资源之间交换令牌,使用了 OAuth 2.0 协议,该协议的缺点是允许攻击者拦截访问令牌以破解用户帐户。 利用恶意网站,攻击者不仅可以访问 Facebook 帐户,还可以访问其他支持“使用 Facebook 登录”功能的服务的帐户。 目前已有大量网络资源支持该功能。 在获得受害者帐户的访问权限后,攻击者可以代表被黑帐户的所有者发送消息、编辑帐户数据并执行其他操作。
据报道,研究人员于去年 55 月向 Facebook 通报了发现的问题。 开发人员认识到该漏洞的存在并及时修复。 然而,一月份,Baykar 找到了一种解决方法,使他能够访问网络用户帐户。 Facebook 后来修复了这个漏洞,研究人员获得了 000 美元的奖励。
来源: 3dnews.ru