資訊安全領域的研究員 Amol Baikar 公佈了社交網路 Facebook 使用的 OAuth 授權協議中存在十年之久的漏洞的數據。 利用此漏洞可以入侵 Facebook 帳號。
上述問題涉及「使用Facebook登入」功能,該功能允許您使用Facebook帳戶登入不同的網站。 為了在 facebook.com 和第三方資源之間交換令牌,使用了 OAuth 2.0 協議,該協議的缺點是允許攻擊者攔截存取權杖以破解用戶帳戶。 利用惡意網站,攻擊者不僅可以存取 Facebook 帳戶,還可以存取其他支援「使用 Facebook 登入」功能的服務的帳戶。 目前已有大量網路資源支援此功能。 在獲得受害者帳戶的存取權限後,攻擊者可以代表被駭帳戶的所有者發送訊息、編輯帳戶資料並執行其他操作。
據報道,研究人員於去年 55 月向 Facebook 通報了發現的問題。 開發人員認識到該漏洞的存在並及時修復。 然而,一月份,Baykar 找到了一種解決方法,使他能夠存取網路使用者帳戶。 Facebook 後來修復了這個漏洞,研究人員獲得了 000 美元的獎勵。
來源: 3dnews.ru