Зав.гар.: Петрович В.В
Мес†ный
- Регистрация
- 19 Апр 2017
- Сообщения
- 8.544
- Репутация
- 1.569
- Реакции
- 8.873
Амол Байкар, авторитетный исследователь в сфере безопасности, выявил наличие критической уязвимости в протоколе авторизации OAuth социальной сети Facebook. Отмечается существование подобной уязвимости на протяжении порядка 10 лет. При использовании подобной уязвимости злоумышленники получают непосредственную возможность взлома любого аккаунта социальной сети.
Сохраняется риск перехвата трафика
Проблему содержит функция «Войти через Facebook», для которой задействован протокол авторизации OAuth 2.0, обеспечивающий обмен социальной сети и прочих сайтов. При этом у злоумышленника есть возможность дистанционной настройки специального сайта по перехвату трафика, с хищением токенов авторизации для доступа к учетным записям конкретных пользователей социальной сети.
У злоумышленника после удачного использования появляется возможность публикации новостей в ленте, отправок сообщений, изменений данных аккаунта, удаления сообщений и прочих действий. Преступник может перехватить контроль и прочих учетных записей.
Старания полностью компенсировались крупным вознаграждением от Facebook
Автор в сфере безопасности уже сообщил социальной сети про существующую уязвимость. В рамках поддержки стороннего тестирования и помощи в развитии проекта, руководство Facebook уже подтвердило выплату исследователю вознаграждения в размере 55 тысяч долларов.
Сохраняется риск перехвата трафика
Проблему содержит функция «Войти через Facebook», для которой задействован протокол авторизации OAuth 2.0, обеспечивающий обмен социальной сети и прочих сайтов. При этом у злоумышленника есть возможность дистанционной настройки специального сайта по перехвату трафика, с хищением токенов авторизации для доступа к учетным записям конкретных пользователей социальной сети.
У злоумышленника после удачного использования появляется возможность публикации новостей в ленте, отправок сообщений, изменений данных аккаунта, удаления сообщений и прочих действий. Преступник может перехватить контроль и прочих учетных записей.
Старания полностью компенсировались крупным вознаграждением от Facebook
Автор в сфере безопасности уже сообщил социальной сети про существующую уязвимость. В рамках поддержки стороннего тестирования и помощи в развитии проекта, руководство Facebook уже подтвердило выплату исследователю вознаграждения в размере 55 тысяч долларов.