Τρίτη, 27 Οκτωβρίου, 23:56
Αρχική inet Reconnect ευπάθεια του Facebook επιτρέπει hijacking λογαριασμών

Reconnect ευπάθεια του Facebook επιτρέπει hijacking λογαριασμών

Ο ειδικός σε θέματα ασφαλείας Egor Homakov από την εταιρεία Sakurity κυκλοφόρησε το εργαλείο Reconnect (Επανασύνδεση) που επιτρέπει σε hackers πραγματοποιήσουν ένα exploit σε μια ευπάθεια του Facebook για να παραβιάσουν λογαριασμούς σε ιστοσελίδες που χρησιμοποιούν το χαρακτηριστικό “σύνδεση με το Facebook”.Reconnect tool Faceboook

Ο Homakov, που εργάζεται για την pentesting εταιρεία Sakurity, ανέφερε την ευπάθεια στο Facebook πριν από ένα χρόνο, αλλά η εταιρεία δεν ενημέρωσε τον κώδικα της, για να προστατέψει ένα τεράστιο αριθμό ιστοσελίδων που χρησιμοποιούν το χαρακτηριστικό.

Το Reconnect εκμεταλλεύεται ελαττώματα cross-site request forgery (CSRF) που επηρεάζουν το Facebook Login, το οποίο επιτρέπει στους χρήστες να συνδεθούν με τρίτες ιστοσελίδες μέσω των λογαριασμών τους στο Facebook. Βασικά η ευπάθεια επιτρέπει στους επιτιθέμενους να αποκτήσουν πρόσβαση σε λογαριασμούς των θυμάτων χρησιμοποιώντας εφαρμογές Facebook που αναπτύχθηκαν από τρίτες ιστοσελίδες όπως το Mashable, τη Vimeo, About.me, το Stumbleupon και πολλές άλλες.

“Το Reconnect είναι ένα έτοιμο προς χρήση εργαλείο για να εισβάλετε σε λογαριασμούς ιστοσελίδων που χρησιμοποιούν το Facebook Login, για παράδειγμα στο Booking.com, Bit.ly, About.me, Stumbleupon, Angel.co, Mashable.com, Vimeo και πολλές άλλες,” έγραψε ο Homakov σε μια δημοσίευση στο blog της εταιρείας του.

[su_box title=”Egor Homakov @ Sakurity ” box_color=”#00ff03″ radius=”1″]“Είστε ελεύθεροι να αντιγράψετε και να τροποποιήσετε τον πηγαίο κώδικα του εργαλείου. Το Facebook αρνήθηκε να διορθώσει αυτό το ζήτημα πριν από ένα χρόνο, δυστυχώς, ήρθε η ώρα να πάρουν το εργαλείο οι blackhats.”[/su_box]

Το Facebook από την άλλη, αρνήθηκε ότι δεν δέχτηκε να καθορίσει την επίθεση, ρίχνοντας το φταίξιμο στους προγραμματιστές που δεν ακολουθούν τις βέλτιστες πρακτικές του Facebook.

Για να το πούμε διαφορετικά, το κοινωνικό δίκτυο δεν διόρθωσε την ευπάθεια γιατί ο ερευνητής δεν ακολούθησε κατά γράμμα τη διαδικασία που ορίζει το Facebook.

Μέχρι να διορθωθεί το πρόβλημα από την εταιρεία, οι ιστοσελίδες που χρησιμοποιούν το Facebook Login μπορούν απενεργοποιήσουν την υπηρεσία από τα sites τους.

ΑΦΗΣΤΕ ΜΙΑ ΑΠΑΝΤΗΣΗ

Please enter your comment!
Please enter your name here

SecNews
SecNewshttps://www.secnews.gr
In a world without fences and walls, who need Gates and Windows

LIVE NEWS

Among Us: οι παίκτες χτυπήθηκαν από επίθεση spam

Η InnerSloth, δημιουργός του δημοφιλούς παιχνιδιού Among Us, αντιμετώπισε μία επίθεση που επηρέασε τους παίκτες του την προηγούμενη εβδομάδα. Πιο συγκεκριμένα, κάποια...
00:01:47

Data breach σε δικηγορική εταιρεία εκθέτει στοιχεία υπαλλήλων της Google

Η δικηγορική εταιρεία μετανάστευσης Fragomen, Del Rey, Bernsen & Loewy, LLP αποκάλυψε ότι υπέστη data breach που οδήγησε στη διαρροή προσωπικών στοιχείων...

Πως να εγκαταστήσετε ένα αρχείο .watchface στο Apple Watch

Το Apple Watch σάς επιτρέπει να προσαρμόζετε τα faces του ρολογιού ώστε να εμφανίζονται όλα τα είδη των χρήσιμων πληροφοριών. Αλλά ξέρατε...

Οι πέντε μεγαλύτερες παραβιάσεις δεδομένων του 21ου αιώνα

Τα δεδομένα γίνονται όλο και πιο περιζήτητα όσο η καθημερινότητά μας ψηφιοποιείται περισσότερο. Οι τεχνολογικοί γίγαντες που μονοπωλούν τα δεδομένα είναι οι...

Η Microsoft περιορίζει τη διαθεσιμότητα των Windows 10 20H2

Η Microsoft αυτή τη στιγμή περιορίζει τη διαθεσιμότητα των Windows 10 20H2 για να παρέχει σε όλους τους χρήστες που θέλουν να...

Πως να ενεργοποιήσετε τη νέα μυστική λειτουργία Read more του Chrome

Η τελευταία έκδοση του προγράμματος περιήγησης Google Chrome, v86, που κυκλοφόρησε νωρίτερα αυτό το μήνα, περιέχει ένα μυστικό χαρακτηριστικό που ονομάζεται Read...

Πως να επιλέξετε ένα προσαρμοσμένο χρώμα για το Start menu

Ξεκινώντας από την ενημέρωση του Οκτωβρίου 2020, τα Windows 10 είναι προεπιλεγμένα σε ένα θέμα που αφαιρεί τα έντονα χρώματα από τη...

Το τηλεσκόπιο της NASA ανακαλύπτει πόσιμο νερό στο φεγγάρι

Πριν από έντεκα χρόνια, ένα διαστημικό σκάφους άλλαξε την άποψη μας για το φεγγάρι για πάντα. Τα δεδομένα που συλλέχθηκαν από τους...

Microsoft: Ενισχύει τις δυνατότητες ανίχνευσης password spray επιθέσεων

Η Microsoft έχει βελτιώσει σημαντικά τις δυνατότητες ανίχνευσης password spray επιθέσεων στο Azure Active Directory (Azure AD) και έχει φτάσει στο σημείο...

Πώς θα αποτρέψουμε τις εταιρείες να βρίσκουν τον αριθμό τηλεφώνου μας

Την εποχή της διαφήμισης, όσο περισσότερες πληροφορίες για τους χρήστες είναι γνωστές τόσο πιο βολικό είναι για τις εταιρείες. Και ειδικότερα, οι...