O deficienţă de securitate a permis accesul nestingherit la conturile utilizatorilor

[UnderKode]

O deficien?? de securitate cu risc major, f?cut? public? abia recent pe blogul personal al unui expert în securitate, a l?sat practic toate conturile de utilizator Facebook la mila hackerilor, prezentând o cale de a ob?ine acces nelimitat asupra profilului de utilizator f?r? ?tirea victimei.

Vulnerabilitatea a fost descoperit? în sistemul OAuth, folosit pentru a intermedia comunicarea de informa?ii între aplica?ii Facebook ?i utilizatori.

De?i în mod normal sistemul de autentificare OAuth ne prezint? un mesaj de întâmpinare ori de câte ori instal?m o aplica?ie nou?, cerând confirmarea acord?rii unor drepturi de acces asupra contului de utilizator ap?sând butonul Allow/Accept, vulnerabilitatea descoperit? face ca acest mesaj s? nu mai fie afi?at. Mai grav este nici m?car nu este nevoie de instalarea unei aplica?ii infectate în contul de Facebook, fapt ce las? vulnerabili absolut to?i utilizatorii re?elei de socializare, chiar ?i aceia care nu au instalat niciodat? aplica?ii Facebook.

Petru ca un hacker s? poat? exploata gaura de securitate descoperit? nu este nevoie decât ca victima s? fie p?c?lit? în a vizita un website controlat de atacator . Indiferent de web browserul folosit, rezultatul era ob?inerea unei chei de acces ce garanta acces nelimitat la colec?ia de mesaje din inbox, paginile Facebook administrate de utilizatori, albumele private de fotografii ?i multe altele, valabil? pe termen nelimitat sau pân? ce victima hot?ra s?-?i schimbe parola de utilizator.

Odat? ob?inute, drepturile de acces la contul de utilizator Facebook aveau valabilitate nelimitat?.

Din fericire reprezentan?ii Facebook au confirmat remedierea problemei de securitate descoperit?, catalogat? ca fiind una cu risc extrem de ridicat. Totu?i, este greu de spus dac? în sistemul de securitate foarte complex, implementat pentru protec?ia utilizatorilor care acceseaz? serviciile Facebook, nu mai sunt ?i alte g?uri de securitate de tipul celei f?cute publice, dar care sunt exploatate ?i acum de hackeri profesioni?ti.

Source