Groźna luka w uwierzytelnianiu Facebooka pozwala przejąć konto
- 08.07.2013, godz. 15:49
Wykryta podatność umożliwia przejęcie kontroli nad kontem na Facebooku przy pomocy sfałszowanego tokena uwierzytelnienia dla aplikacji.
Analiza spamu od dawna przynosi wiele informacji związanych z lukami bezpieczeństwa. Te same działania doprowadziły specjalistów z laboratorium badania zagrożeń w firmie Cyberoam do luki w Facebooku. Podatność ta jest związana z mechanizmem uwierzytelnienia i po udanym wykorzystaniu pozwala atakującym na wgrywanie obrazów, zdjęć, umieszczanie komentarzy, dokonywanie płatności, wysyłanie SMS-ów, czytanie wiadomości oraz tagowanie zdjęć znajomych. W praktyce taki skuteczny atak oznacza przejęcie konta na Facebooku.
Na ślad luki doprowadziły wiadomości zawierające rzekomo film z kobietą uzbrojoną w bardzo ostrą siekierę ("Lady with razor sharp axe"). Wiadomości te były wysyłane wśród powodzi innych e-maili zawierających pospolity spam, przeznaczone były jednak do nakierowania użytkowników na narzędzie, które służy do przechwycenia i archiwizacji tokenów dostępowych. Pozyskane w ten sposób tokeny dostępu do aplikacji Facebooka oddają napastnikom kontrolę nad kontem ofiary, nawet jeśli użytkownik w późniejszym terminie wyloguje się z Facebooka.
Zobacz również:
- Apple ostrzega użytkowników w 92 krajach. Uwaga na ataki szpiegowskie
- Hakerzy włamali się do znanego polskiego sklepu internetowego
Do czasu załatania tej podatności należy:
- unikać klikania w linki, obiekty wideo lub obrazy związane z tym spamem,
- niezwłocznie zmienić hasło do Facebooka, dzięki czemu poprzednio używany token zostanie unieważniony,
- w opcjach konta wyłączyć "aplikacje, z których korzystasz", dzięki czemu żadna aplikacja nie będzie miała dostępu do tokena.
Informacja o zagrożeniu oraz szczegóły podatności zostały już zgłoszone do Facebooka, kompletne opracowanie zostanie opublikowane po wprowadzeniu przez Facebooka skutecznych zabezpieczeń.