Νέες ευπάθειες στο Facebook επιτρέπουν πρόσβαση σε οποιοδήποτε λογαριασμό

Ο γνωστός μας από προηγούμενη δημοσίευση ερευνητής ασφαλείας Nir Goldshlager, κατάφερε να εντοπίσει ακόμη μια ευπάθεια στο Facebook OAuth που μπορεί να αξιοποιηθεί για να αποκτήσει πρόσβαση σε οποιοδήποτε λογαριασμό.

Στη προηγούμενη μέθοδο επίθεσης που παρουσίασε τον περασμένο Φεβρουάριο, ο εμπειρογνώμονας χρησιμοποίησε το APP_ID του Facebook Messenger για να αποκτήσει πλήρη πρόσβαση σε όποιον λογαριασμό επιθυμούσε.

facebook-security

Το Facebook ασχολήθηκε με το θέμα και έκανε αλλαγές στην προστασία χρησιμοποιώντας το regex, αλλά Goldshlager αναφέρει ότι ανακάλυψε μια νέα μέθοδο που του επιτρέπει να εκμεταλλευτεί το Facebook Messenger APP_ID.

Εκτός από αυτή την ευπάθεια, έχει βρει επίσης έναν άλλο τρόπο που του επιτρέπει να παρακάμπτει την προστασία OAuth regex, αλλά η δεύτερη μέθοδος λειτουργεί μόνο για επιθέσεις εναντίον μελών του Facebook που χρησιμοποιούν τον Firefox.

Και τα δύο θέματα ασφαλείας έχουν καθοριστεί από το Facebook αμέσως μετά την αναφορά τους.

Πλήρης τεχνικές λεπτομέρειες της ευπάθειας είναι διαθέσιμα στο blog του Nir Goldshlager.

Ακολουθήσετε μας στο Google News iGuRu.gr at Google news

Written by giorgos

Ο Γιώργος ακόμα αναρωτιέται τι κάνει εδώ....

Αφήστε μια απάντηση

Η ηλ. διεύθυνση σας δεν δημοσιεύεται.

Το μήνυμα σας δεν θα δημοσιευτεί εάν:
1. Περιέχει υβριστικά, συκοφαντικά, ρατσιστικά, προσβλητικά ή ανάρμοστα σχόλια.
2. Προκαλεί βλάβη σε ανηλίκους.
3. Παρενοχλεί την ιδιωτική ζωή και τα ατομικά και κοινωνικά δικαιώματα άλλων χρηστών.
4. Διαφημίζει προϊόντα ή υπηρεσίες ή διαδικτυακούς τόπους .
5. Περιέχει προσωπικές πληροφορίες (διεύθυνση, τηλέφωνο κλπ).


  +  48  =  50