За почетак ћемо се оградити - намера овог текста није да било коме објасни како да ухакује нечији Фејсбук профил. Сврха је да најпре да вам укажемо на безбедносни пропуст који је постао јаван и да вас упозоримо да заштитите своје налоге.
Фејсбук је највећа друштвена мрежа коју користи огроман део интернет корисника. Као такав, он нуди и могућност да се на друге сајтове угради функционалност коиршћења неког сервиса а да идентификација иде преко Фејсбук налога. Међутим, ако сте ово некад учинили, време је да повучете све, пошто је пронађена нова "рупа" у Фејсбук СДК (Software development kit) која излаже све корисничке токене ризику.
Ова рупа омогућава нападачима да украду корисничке токене за аутентикацију и да их користе да се улогују на нечији налог - и при том потенцијално украду податке, постују и слично.
Где настаје проблем?
Опција Улогујте се преко фејсбука (Login with Facebook) омогућава трећем лицу да за своје апликације или вебсајт користе ваше информације са Фејсбука. Треће лице у том случају складишти ваш приступни токен и друге информације у формату који није енкриптован, и нападач му може приступити за свега 5 секунди.
Овај пропуст је открили истраживачи из МеталИнтел-а, водеће компаније на пољу Мобилног Ризик Менаџмента. Ризик је, дакле, на мобилним уређајима - овај токен се на iOS уређајима може украсти тзв. "juice jacking" нападом (приступ приватним ресурсима и процесима на iOS оперативном систему, преко "задњих врата"), а на Андроиду, може се приступити преко recovery мода, што је захтевније и тражи више времена. Уколико су ваши приступни токени складиштени на вашем уређају, лако могу бити украдени.
Шта чинити?
Уколико сте фејсбук корисник, и дозволили сте на апликацијама или сајтовима логовање преко фејсбук налога, треба да их све опозовете, пошто је пропуст постао јаван и скоро свако може да га користи.
Погледајте пример коришћења овог пропуста:
Извор: hackersnewsbulletin.com
Постави коментар