Nir Goldshlager információbiztonsággal foglalkozó kutató komoly hibát fedezett fel a Facebook által használt OAuth rendszerben, ezáltal képes volt teljesen átvenni az irányítást bármely felhasználói fiók felett, még akkor is, ha az áldozat soha nem használt semmilyen alkalmazást.
A Facebook az OAuth rendszert használja a felhasználók és alkalmazások közti kommunikációra.
Amikor az internetezők telepíteni akarnak egy alkalmazást, akkor ezek mindig kérik az engedélyek megadását különböző tevékenységekhez, mint posztolás a felhasználó nevében stb.
A támadási módszer az OAuth URL-jén alapszik.
https://www.facebook.com/dialog/oauth/?
app_id=YOUR_APP_ID&next=YOUR_REDIRECT_URL&
state=YOUR_STATE_VALUE&
scope=COMMA_SEPARATED_LIST_OF_PERMISSION_NAMES
Az URL paramétereit manipulálva sikerült a felhasználókkal feltelepíttetnie egy okos alkalmazást, amely azután ellopta a belépési tokeneket és elküldte őket egy külső weboldalra, majd ezek segítségével tudott bejutni a Facebook fiókokba.
Azonban némi fejtörés után Goldshlagernak sikerült hozzájutnia az áldozatok belépési tokenjeihez bármilyen alkalmazás feltelepítése nélkül is. Ezt úgy érte el, hogy kicserélte az „app_id” paramétereit azokra, amelyeket a Facebook Messenger használ.
Mivel a belépési tokenek csakis akkor járnak le, amikor a felhasználó megváltoztatja a jelszavát és a Facebook Messengernek értelemszerűen minden engedélye megvan, így könnyedén át tudta venni a hatalmat bármely fiók felett.
Miután értesítette erről a hibáról a Facebookot, nekiláttak a kijavításnak. A kutató állítása szerint egyéb, az OAuth rendszerrel összefüggő sérülékenységeket is felfedezett, de publikálás előtt megvárja, amíg a Facebook megteszi a szükséges lépéseket.
És ez nem is az első alkalom, hogy Goldshlager komoly hibákra bukkant a Facebook rendszerében. Januárban például jelentett egy a Facebook dolgozók által használt Biztonságos Fájl Átviteli szolgáltatást érintő hibát, amely révén képes volt átállítani bármely fiók jelszavát.
A teljes technikai részletek az OAuth hackről Nir Goldshlager blogjában találhatóak.
Forrás: Softpedia