Заплахи

10-годишна слабост във Facebook излага на риск потребителски профили

Александър Главчев

Изледователят Амол Байкар обяви, че е открил опасна уязвимост в протокола за авторизация OAuth Facecook. Тя позволява получаване на достъп до всеки профил в социалната мрежа, както и до услуги, до които може да се достъпват чрез нея. По думите на специалиста описаният бъг не е нов, а съществува вече 9-10 години.

Според Байкар проблемът в начина, по който е реализирана функцията "Влизане с Facebook" (Login with Facebook), използваща протокола OAuth 2.0 за обмяна на авторизационни токъни. Чрез нея собствениците на профили в социалната мрежа могат да ползват други интернет услуги без допълнителна регистрация.

Хакери могат да създадат уебсайт за прихващане на трафика от OAuth и да крадат въпросните токъни. Чрез тях той може да получи достъп до профила на жертвата си - да праща съобщения или да публикува от нейно име.

Освен това той може да вземе под контрол профили в други ресурси, достъпът до които става чрез профила във Facebook. Такава възможност предлагат много услуги, като Instagram, Netflix, Spotify и др.

Байкар е открил уязвимостта в средата на декември 2019 г. и веднага е уведомил Facebook. За негово учудване компанията веднага е признала съществуването ѝ я е поправила. Изследователят обаче е открил допълнителни грешки, които в крайна сметка са отстранени на 10 януари.

За работата си на 20 февруари Амол Байкар е получил 55 хил. долара от Facebook в рамките на програмата Bug Bounty.




© Ай Си Ти Медиа ЕООД 1997-2020 съгласно Общи условия за ползване

X