Reconnect ευπάθεια του Facebook επιτρέπει hijacking λογαριασμών

Ο ειδικός σε θέματα Egor Homakov από την Sakurity κυκλοφόρησε το εργαλείο Reconnect (Επανασύνδεση) που επιτρέπει σε hackers πραγματοποιήσουν ένα exploit σε μια ευπάθεια του Facebook για να παραβιάσουν λογαριασμούς σε ιστοσελίδες που χρησιμοποιούν το χαρακτηριστικό “σύνδεση με το Facebook”.Reconnect tool Faceboook

Ο Homakov, που εργάζεται για την pentesting εταιρεία Sakurity, ανέφερε την ευπάθεια στο Facebook πριν από ένα χρόνο, αλλά η εταιρεία δεν ενημέρωσε τον κώδικα της, για να προστατέψει ένα τεράστιο αριθμό ιστοσελίδων που χρησιμοποιούν το χαρακτηριστικό.

Το Reconnect εκμεταλλεύεται ελαττώματα cross-site request forgery (CSRF) που επηρεάζουν το Facebook Login, το οποίο επιτρέπει στους χρήστες να συνδεθούν με τρίτες ιστοσελίδες μέσω των λογαριασμών τους στο Facebook. Βασικά η ευπάθεια επιτρέπει στους επιτιθέμενους να αποκτήσουν πρόσβαση σε λογαριασμούς των θυμάτων χρησιμοποιώντας εφαρμογές Facebook που αναπτύχθηκαν από τρίτες ιστοσελίδες όπως το Mashable, τη Vimeo, About.me, το Stumbleupon και πολλές άλλες.

“Το Reconnect είναι ένα έτοιμο προς χρήση για να εισβάλετε σε λογαριασμούς ιστοσελίδων που χρησιμοποιούν το Facebook Login, για παράδειγμα στο .com, Bit.ly, About.me, Stumbleupon, Angel.co, Mashable.com, Vimeo και πολλές άλλες,” έγραψε ο Homakov σε μια δημοσίευση στο blog της εταιρείας του.

Egor Homakov @ Sakurity
“Είστε ελεύθεροι να αντιγράψετε και να τροποποιήσετε τον πηγαίο κώδικα του εργαλείου. Το Facebook αρνήθηκε να διορθώσει αυτό το ζήτημα πριν από ένα χρόνο, δυστυχώς, ήρθε η ώρα να πάρουν το εργαλείο οι blackhats.”

Το Facebook από την άλλη, αρνήθηκε ότι δεν δέχτηκε να καθορίσει την επίθεση, ρίχνοντας το φταίξιμο στους προγραμματιστές που δεν ακολουθούν τις βέλτιστες πρακτικές του Facebook.

Για να το πούμε διαφορετικά, το κοινωνικό δίκτυο δεν διόρθωσε την ευπάθεια γιατί ο ερευνητής δεν ακολούθησε κατά γράμμα τη διαδικασία που ορίζει το Facebook.

Μέχρι να διορθωθεί το πρόβλημα από την εταιρεία, οι ιστοσελίδες που χρησιμοποιούν το Facebook Login μπορούν απενεργοποιήσουν την από τα sites τους.

iGuRu.gr The Best Technology Site in Greeceggns

Get the best viral stories straight into your inbox!















giorgos

Written by giorgos

Ο Γιώργος ακόμα αναρωτιέται τι κάνει εδώ....

Αφήστε μια απάντηση

Η ηλ. διεύθυνση σας δεν δημοσιεύεται. Τα υποχρεωτικά πεδία σημειώνονται με *

Το μήνυμα σας δεν θα δημοσιευτεί εάν:
1. Περιέχει υβριστικά, συκοφαντικά, ρατσιστικά, προσβλητικά ή ανάρμοστα σχόλια.
2. Προκαλεί βλάβη σε ανηλίκους.
3. Παρενοχλεί την ιδιωτική ζωή και τα ατομικά και κοινωνικά δικαιώματα άλλων χρηστών.
4. Διαφημίζει προϊόντα ή υπηρεσίες ή διαδικτυακούς τόπους .
5. Περιέχει προσωπικές πληροφορίες (διεύθυνση, τηλέφωνο κλπ).